Риски неисполнения требований законодательства
- Гражданско-правовые иски со стороны клиентов или работников;
- Репутационные риски;
- Принудительное приостановление или прекращение обработки персональных данных в компании;
- Привлечение компании и (или) ее руководителя к административной или иным видам ответственности;
- Приостановление действия или аннулирование лицензий.
Уголовная ответственность
В соответствии с нормами Российского законодательства к уголовной ответственности могут быть привлечены исключительно физические лица, совершившие преступление, посягающее на интересы личности, общества и государства.
Предусмотрена ответственность за следующие виды преступлений:
- незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Отягчающим обстоятельством по данному виду нарушений признается данное правонарушение, совершенное с использованием своего служебного положения (ст. 137 УК РФ);
- за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).
Уголовная ответственность за указанные выше виды нарушения возможна различная:
- штраф до 300 тыс. руб.;
- обязательные работы от 120 до 180 часов;
- исправительные работы до 1 года;
- лишение свободы до 4-х лет;
- лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет.
Административная ответственность
- за нарушение статьи 5.39 КоАП РФ "Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, не предоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации" - штраф в размере от 1 000 до 3 000 рублей;
- за нарушение статьи 13.11 КоАП РФ "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)":
- для гражданина предупреждение или наложение штрафа в размере от 300 до 500 рублей;
- для должностного лица штраф в размере 500 до 1 000 рублей;
- для юридического лица штраф в размере от 5 000 до 10 000 рублей;
- за нарушение части 2 статьи 13.12 КоАП РФ "Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)":
- для гражданина штраф в размере от 500 до 1 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой;
- для должностного лица штраф в размере от 1 000 до 2 000 рублей;
- для юридического лица штраф в размере от 10 000 до 20 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой;
- за нарушение части 1 статьи 13.13 КоАП РФ "Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)":
- для гражданина штраф в размере от 500 до 1 000 рублей с конфискацией средств защиты информации или без таковой;
- для должностного лица штраф в размере от 2 000 до 3 000 рублей с конфискацией средств защиты информации или без таковой;
- за нарушение статьи 13.14 КоАП РФ "Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей":
- для гражданина штраф в размере от 500 до 1 000 рублей;
- для должностного лица штраф в размере от 4 000 до 5 000 рублей;
- за нарушение части 1 статьи 19.4 КоАП РФ "Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей":
- для гражданина штраф в размере от 500 до 1 000 рублей;
- для должностного лица штраф в размере от 2 000 до 4 000 рублей;
- за нарушение части 1 статьи 19.5 КоАП РФ "Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства":
- для гражданина штраф в размере от 300 до 500 рублей;
- для должностного лица штраф в размере от 1 000 до 2 000 рублей или дисквалификация должностного лица на срок до трех лет;
- для юридического лица штраф в размере от 10 000 до 20 000 рублей;
- за нарушение части 2 статьи 19.5 КоАП РФ "Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа":
- для должностного лица штраф в размере от 5 000 до 10 000 рублей или дисквалификация должностного лица на срок до трех лет;
- для юридического штраф в размере от 200 000 до 500 000 рублей;
- за нарушение статьи 19.6 КоАП РФ "Непринятие по постановлению (представлению) органа (должностного лица), рассмотревшего дело об административном правонарушении, мер по устранению причин и условий, способствовавших совершению административного правонарушения":
- для должностного лица штраф в размере от 300 до 500 рублей;
- за нарушение статьи 19.7 КоАП РФ "Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.8, 19.19 КоАП":
- для гражданина штраф в размере от 100 до 300 рублей;
- для должностного лица штраф в размере от 300 до 500 рублей;
- для юридического лица штраф в размере от 3 000 до 5 000 рублей;
Ответственность за нарушения трудового законодательства
Необходимо понимать, что деятельность оператора ПДн - это в первую очередь деятельность сотрудников организации по обработке персональных данных. При проведении мер по защите персональных данных важно не только разработать организационно-распорядительные документы, установить систему средств защиты, но и ознакомить, а в ряде случаев и обучить сотрудников правилам работы с персональными данными. Ведь в случае недобросовестной работы сотрудника с персональными данными пострадает сама организация.
Таким образом, необходимо, чтобы работники помнили, что в соответствии с ТК РФ разглашение персональных данных, а также нарушение норм, регулирующих получение, обработку и защиту персональных данных работников, может грозить работнику организации увольнением (ст. 81, 90 ТК).
В частности пункт "в" статьи 81 ТК РФ предусматривает расторжение трудового договора в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Также согласно статье 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
В 2012 году Уполномоченным органом проведено 874 плановых проверки из 991 запланированных. Проведены также 663 внеплановые проверки. По результатам контрольно-надзорных мероприятий, проведённых Уполномоченным органом в 2012 году, выдано 1370 предписаний об устранении выявленных нарушений, что почти на 40% меньше показателей 2011 года.
Типичными нарушениями требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых на его основе подзаконных актов, в 2012 году являлись:
а) ст. 7 Федерального закона «О персональных данных» - нарушение требований конфиденциальности при обработке персональных данных;
б) ч. 4 ст. 9 Федерального закона «О персональных данных» - несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;
в) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 в части, касающейся несоблюдения Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
г) ч. 3 ст. 22 Федерального закона «О персональных данных» - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;