защита пдн судебная практика

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

Консультант Центра информационной безопасности компании «Инфосистемы Джет»

специально для ГАРАНТ.РУ

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор?

На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.

На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство?

В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;

не указан перечень организаций, в которые передаются персональные данные;

требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.

Источник

Продается все о каждом

В ходе рассмотрения этого дела было наглядно продемонстрировано, как правильно поступать в подобных случаях. Ведь саму процедуру таких исков не всегда до конца понимают даже наши суды.

А подобных споров о защите персональных данных в последнее время стало так много, что на проблему приходится обращать внимание не только самим гражданам, но и правоохранителям, юристам, законодателям.

Поэтому имя человека, его адрес, паспортные данные и прочее с каждым днем становятся все дороже. В итоге сложился целый нелегальный рынок, на котором можно купить персональные данные, а их хозяева даже знать об этом не будут.

Между тем, сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем. Ему надо доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и убытками. Да и штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей.

Но и такие суммы за последние годы не присуждали.

Наши суды ограничиваются 10-20 тысячами рублей компенсации. Хотя в Европе предусмотрены штрафы до 4 процентов оборота компании. А это заставляет организации ответственно подходить к вопросам защиты персональных данных.

Наша история началась на Дальнем Востоке, где гражданин написал заявление в местное управление Роскомнадзора. В заявлении было сказано, что в интернете без его разрешения некая фирма с Багамских островов распространяла его персональные данные.

В итоге всех споров дело дошло до Судебной коллегии по гражданским делам Верховного суда. И там с мнением дальневосточных судов не согласились.

Верховный суд начал с того, что напомнил: Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных. В том числе и неопределенного круга лиц. Это сказано в Законе «О персональных данных». Также ведомство имеет право представлять пострадавших в суде.

А еще Верховный суд указал на статью 26 Гражданского процессуального кодекса. Там сказано, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. Поэтому заявление в защиту жителя Дальнего Востока надо было рассмотреть в порядке гражданского судопроизводства.

Как правило, истцом в судах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. Сам Роскомнадзор реже, чем простые граждане, обращается с исками в суд. Обычно ответчиком в таких спорах оказывается оператор персональных данных или тот, кто получил доступ к персональным данным гражданина.

Весной этого года стало известно, что Госдуме и Роскомнадзору предложили законодательно ужесточить ответственность за нарушения в сфере персональных данных. Если предложение пройдет, то за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 000 до 5 миллионов рублей. Такую инициативу озвучила Ассоциация юристов России. Там подготовили предложения по изменению закона «О персональных данных». АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им, по решению суда, в случае утечки компенсацию в размере от 500 000 до 5 миллионов рублей. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.

Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.

При этом иски о защите прав хозяина персональных данных, в том числе о возмещении убытков, компенсации морального вреда, могут предъявляться и в суд по месту жительства истца.

Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите.

В нашем случае Верховный суд отменил отказные решения дальневосточных коллег и велел рассмотреть требование гражданина.

Источник

Верховный суд научил рассматривать иски о защите персональных данных

Куда идти с иском

Михаил Возин* подал заявление в управление Роскомнадзора по ДФО. Он указал, что в интернете без его разрешения компания с Багамских островов Whois Privacy Corp. распространяла его персональные данные. Роскомнадзор от его имени направил заявление в суд. Ведомство потребовало защитить права Возина как субъекта персональных данных и ограничить доступ к информации о нем.

В Центральном районном суде Хабаровска, куда было направлено исковое заявление, отказались его принять. Там решили, что требования заявителя по своей природе административные и не должны рассматриваться в порядке гражданского судопроизводства. В апелляции согласились с такой позицией и указали, что претензии Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы первой инстанции о рассмотрении спора в административном порядке верны.

Судебная коллегия по гражданским делам Верховного суда под председательством судьи Асташова указала на ошибку нижестоящих коллег.

Коллегия напомнила, что Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных (в том числе неопределенного круга лиц – п. 5 ч. 3 ст. 23 закона «О персональных данных») и представлять их в суде. При этом по ч. 6 ст. 26 ГПК иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца, указал ВС.

Заявление следовало рассмотреть в порядке гражданского судопроизводства, сказано в определении по делу (дело № 58-КГ20-2)

Сложности глазами эксперта

Ответчиком в спорах данной категории является оператор персональных данных или другое лицо, получившее доступ к персональным данным истца. «Встречное исковое требование по рассматриваемой категории споров обычно не заявляется. Кроме того, по спорам этой категории не предусмотрен обязательный досудебный претензионный порядок их разрешения. Однако зачастую до обращения в суд будущий истец направляет будущему ответчику требование прекратить обработку персональных данных, удалить данные, а в случае неполучения ответа на подобные запросы лицо обращается за защитой своих прав в суд», – рассказывает Созина.

Так, в деле № 2-2794/18 истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей, но в удовлетворении претензии ему было отказано, после чего последовало обращение в суд. Такие дела рассматриваются в качестве суда первой инстанции районным судом (ст. 24 ГПК), поясняет юрист.

По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации – в суд по ее адресу (ст. 28 ГПК).

При этом иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться и в суд по месту жительства истца (ч. 6.1 ст. 29 ГПК).

Если истец обосновывает свои требования нормами закона о защите прав потребителей, то иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации. А если ответчиком является индивидуальный предприниматель – по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора (ч. 7, 10 ст. 29 ГПК, п. 2 ст. 17 закона «О защите прав потребителей»).

Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК (например, апелляционное определение Московского городского суда от 02.08.2019 по делу № 33-35187/2019).

Случаи административного производства – это скорее исключение при наличии определенных обстоятельств.

«Несмотря на довольно специфический предмет требований и зачастую сложную конструкцию состава, в рамках исков о защите персональных данных экспертизы назначаются судом в исключительных случаях. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите в указанном порядке, а это означает, что именно через призму судебного усмотрения формируется подход к защите персональных данных», – обращает внимание на важную деталь юрист юркомпании «S&K Вертикаль».

* – имена и фамилии участников спора изменены редакцией.

Источник

Судебные прецеденты между Операторами персональных данных и Роскомнадзором

Быть оператором персональных данных не просто. Дело не в сложности и запутанности законодательных актов, регламентирующих права и обязанности субъектов и операторов персональных данных, а в том, что все же данная область контролируема и все же нарушения требований законодательства наказуемы, что доказывается судебной практикой, проанализированной нашими специалистами за последние несколько лет.

В судебной практике по Южному федеральному округу за 1 квартал 2020 года Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций были выявлены нарушения в части обработки и защиты персональных данных.

Согласно обращениям граждан, были выявлены нарушения норм и требований Федерального закона «О персональных данных» 27.07.2006 № 152-ФЗ. Результаты рассмотрения дел таких нарушений представлены в таблице ниже.

Выявленные нарушения и результаты рассмотрения дел согласно действующему законодательству Российской Федерации

Результат рассмотрения дела

Часть 1 статья 6 152-ФЗ

Нарушение выявлено в обработке должностным лицом избыточных персональных данных гражданина при предоставлении ему соответствующей услуги, а именно обработке таких данных о гражданине, как номер банковской карты, логин и пароль от личного кабинета гражданина сайта государственных услуг.

По результатам рассмотрения обращения в отношении должностного лица государственного учреждения составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ

Выявлено нарушение в обработке персональных данных гражданина несовместимой с целями сбора персональных данных. А именно, на гражданина без его согласия и волеизъявления была выпущена банковская карта. С целью дальнейшей работы с данной картой с гражданином Банк начал взаимодействовать путем осуществления выездов по месту его жительства и размещения листовок, содержащих персональные данные гражданина под входной дверью квартиры. Согласие на использование персональных данных с целью выпуска банковской карты, а также взаимодействия с целью обслуживания данной карты, гражданин Банку не давал.

По результатам рассмотрения обращения отношении Банка составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ. Протокол со всеми материалами был направлен в мировой суд для рассмотрения

Нарушение выразилось в том, что на электронную почту гражданина поступило письмо от государственного органа, адресованное другому гражданину. В данном письме указывались персональные данные, позволяющие идентифицировать иного гражданина, а именно, ФИО, адрес проживания, адрес электронной почты.

При рассмотрении обращения факт нарушения ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» был подтвержден. С целью соблюдения законодательства в области персональных данных в отношении граждан в адрес государственного органа направлено письмо-требование о недопущении в дальнейшей деятельности аналогичных нарушений.

Однако в целях пресечения возможных нарушений законодательства в области персональных данных в отношении других граждан в адрес администрации направлено письмо о недопущении в дальнейшей деятельности администрации нарушений конфиденциальности в отношении персональных данных субъектов персональных данных.

Нарушение выразилось в том, что на сайте образовательного учреждения размещены договоры пожертвования, содержащие персональные данные (фамилия, имя, отчество, год рождения, адрес регистрации, паспортные данные) гражданина. Согласие на размещение своих персональных данных гражданин образовательному учреждению не давал. В ответ на запрос образовательное учреждение правовых оснований размещения на сайте персональных данных заявителя не предоставило.

Руководствуясь ч. 3 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» после выявления незаконно размещенных персональных данных заявителя (после получения запроса Управления), в течение трех дней образовательное учреждение удалило размещенные персональные данные.

Было установлено, что банк обрабатывает персональные данные близких родственников работников в объеме ФИО, степень родства, год рождения, национальность. Согласно ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», национальность является специальной категорией персональных данных. Обработка специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных. В деятельности банка было выявлено нарушение ч. 1 ст. 10 Закона о персональных данных, ответственность по которой предусмотрена ч. 2 ст. 13.11 КоАП РФ.

Учитывая, что срок давности привлечения к административной ответственности по ч. 2 ст. 13.11 КоАП РФ, установленный ст. 4.5 КоАП РФ, истек, банк к административной ответственности не привлекался

Правонарушения согласно статье 13.12 КоАП РФ

В части несоблюдения правил защиты информации согласно статье 13.12 КоАП РФ выделяют правонарушения и ответственность за их невыполнение, представленные в таблице ниже:

Правонарушения согласно статье 13.12 КоАП РФ и предусмотренная административная ответственность

Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)

Влечет наложение административного штрафа:

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)

Влечет наложение административного штрафа:

Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну

Влечет наложение административного штрафа:

Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну

Влечет наложение административного штрафа:

Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)

Влечет наложение административного штрафа:

Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи

Влечет наложение административного штрафа:

Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния

Влечет наложение административного штрафа:

Правонарушения выявленные в части средств криптографической защиты информации

В части применения средств криптографической защиты информации или неприменения таковых при обработке персональных данных были выявлены следующие нарушения:

Судебные прецеденты

Управление Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу – Югре и Ямало-Ненецкому автономному округу провело плановую выездную проверку в отношении Муниципального бюджетного учреждения дополнительного образования «Детско-юношеская спортивная школа «Олимпиец» муниципального образования город Ноябрьск на предмет соответствия обработки персональных данных требованиям законодательства РФ.

При проведении плановой проверки были выявлены следующие нарушения обязательных требований в области обработки персональных данных:

По результатам проверки МБУ ДО «ДЮСШ «Олимпиец» выдано предписание. Также для решения вопроса о возбуждении в отношении оператора дела об административном правонарушении, предусмотренного ст. 13.11 КоАП РФ, материалы направлены в прокуратуру г. Ноябрьска.

В г. Владикавказе в 2017 г. директор филиала УФПС – должностное лицо, был признан виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ с назначением административного наказания в виде штрафа. Нарушение – не проведены аттестационные испытания государственной информационной системы на соответствие требованиям безопасности информации.

Были выявлены нарушения в части предоставления уведомления об обработке. Администрация представила уведомление об обработке персональных, на основании которого была внесена в реестр операторов. Дополнительно от Администрации поступили информационные письма о внесении изменений в реестр операторов. Анализ содержания информации на предмет соответствия фактической деятельности Администрации показал ряд несоответствий, а именно: не указаны в полном объеме: цели обработки персональных данных, категории персональных данных, категории субъектов персональных данных, правовые основания обработки персональных данных, действия с персональными данными, способы обработки персональных данных, меры, предусмотренные статьями 18.1 и 19 Федерального закона. Также указана недостоверная информация о назначении ответственного за организацию обработки персональных данных и дата начала обработки персональных данных.

В отношении администрации составлен протокол об административном правонарушении по ст. 19.7 КоАП РФ.

Управлением Роскомнадзора по Республике Башкортостан в ходе мероприятий систематического наблюдения в деятельности администратора сайта liza-baby.ru выявлено нарушение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части неопубликования документа, определяющего политику в отношении обработки персональных данных.

В целях принятия мер прокурорского реагирования материалы были направлены в органы прокуратуры по территориальной подведомственности.

По результатам проверки, проведенной прокуратурой Октябрьского района г. Уфы, факт нарушения законодательства подтвердился.

Прокуратурой района в адрес администратора сайта подготовлено представление об устранении нарушений и постановление о возбуждении дела по ст. 13.11 КоАП РФ в отношении должностного лица, ответственного за обработку персональных данных.

Ниже в таблице 3 представлены последствия за нарушение законодательных норм.

Нарушения законодательных норм и их последствия

Статья 5.39 КоАП РФ

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб

Часть 1 ст. 13.11 КоАП РФ

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

Часть 2 ст. 13.11 КоАП РФ

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

Часть 3 ст. 13.11 КоАП РФ

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

Часть 5 ст. 13.11 КоАП РФ

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

Часть 6 ст. 13.11 КоАП РФ

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

Часть 7 ст. 13.11 КоАП РФ

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Статья 19.7 КоАП РФ

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Штраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Штраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок

Статья 24 152 ФЗ, ст. 151 ГК РФ

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Подпункт «в» п. 6 ч. 1 ст. 81 Трудового кодекса

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Статья 90, ст. 192 ТК РФ

Иные нарушения в области персональных данных при их обработке

Замечание или выговор

Таким образом, несоблюдение требований законодательства в области обработки и защиты персональных данных может грозить серьезными последствиями не только оператору персональных данных, но и должностным лицам, обеспечивающих обработку и безопасность таких данных. Несмотря на незначительные штрафы в случаях нарушений законодательных норм неоднократное повторение правонарушений может привести к исключению оператора ПДн из реестра операторов ПДн, а также к прекращению деятельности Оператора в целом.

Источник

• ← защита патентных прав судебная практика
• защита персональных данных обучение дистанционно →