Ответственность за нарушение законодательства о персональных данных

26.11.2017

Все вы сталкиваетесь с обработкой персональных данных – как при приеме работников, так и при заключении договоров с абонентами и в иных случаях.

С 1 июля 2017 года вступили в силу поправки в Кодекс РФ об административных правонарушениях, внесенные Федеральным законом от 07.02.2017 N 13-ФЗ, ужесточающие ответственность за нарушение порядка обработки персональных данных. Рассмотрим суть новшеств.

 

Размер штрафа

Целью поправок является дифференциация составов административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением. Кроме того, полномочия по возбуждению дел данной категории предоставлены органам Роскомнадзора, в то время как ранее такими полномочиями обладала только прокуратура.

При этом законом не предусмотрено возложение на операторов персональных данных новых обязанностей и/или изменение содержания существующих обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных.

Суть поправок заключается в ужесточении ответственности за нарушение порядка обращения персональных данных.

С 1 июля 2017 года размер максимального штрафа для юридических лиц вырос почти в десять раз.

Как отмечается в пояснительной записке к законопроекту "К проекту Федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", "составы коррелируют с типовыми нарушениями, которые чаще всего выявляются Роскомнадзором в ходе контрольно-надзорной деятельности". Примеры новых оснований для наказания: обработка ПД без согласия в письменной форме субъекта ПД на обработку его ПД, отсутствие согласий субъекта персональных данных, несоблюдение условий сохранности носителей, игнорирование запроса субъекта, отсутствие политики конфиденциальности и другое. Суммарный штраф при множественных нарушениях может достигать 290 тыс. руб.

Самый высокий штраф предусмотрен за обработку персональных данных без письменного согласия субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо в случае, если обработка персональных данных происходит с нарушением установленных законодательством РФ требований к составу сведений, включаемых в письменное согласие субъекта персональных данных на обработку его персональных данных.

Помимо возросшего штрафа, новая редакция ст. 13.11 КоАП РФ теперь предусматривает семь различных составов административного правонарушения в области защиты персональных данных вместо одного общего состава, предусмотренного предыдущей редакцией.

Интересно отметить, что на этапе рассмотрения законопроекта разработчиками предлагалось восемь составов административного правонарушения в данной сфере, однако один из них - обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости, - был в последующем исключен.

 

За что штрафуют?

Новая редакция ст. 13.11 КоАП РФ, по сути, не только пересматривает размер штрафа (он, безусловно, стал более существенным), но и вводит новую систему составов административных правонарушений.

До 1 июля 2017 года ст. 13.11 КоАП РФ предусматривала ответственность даже за незначительное правонарушение, не повлекшее существенных негативных последствий. Таковыми могли являться, например, нарушения, связанные с хранением материальных носителей, содержащих персональные данные (п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687).

Теперь же к административной ответственности оператора привлекут только в случае наступления неблагоприятных последствий, связанных с невыполнением условий, обеспечивающих сохранность данных при хранении материальных носителей. В качестве примеров неблагоприятных последствий ч. 6 ст. 13.11 КоАП РФ называет неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.

Напомним, что индивидуальные предприниматели несут ответственность как должностные лица, если КоАП РФ не предусмотрено иное (примечание к ст. 2.4 КоАП РФ). Ввиду того что ч. ч. 1 и 2 ст. 13.11 КоАП РФ не предусматривают отдельного штрафа для индивидуальных предпринимателей, размер штрафа для последних равен размеру штрафа для должностных лиц.

 

Рекомендации для бизнеса

В связи с вышеизложенным еще раз напомним об основных правилах обращения с персональными данными.

Персональные данные - это любая информация, прямо или косвенно относящаяся к определенному физическому лицу, а их обработка - это любое действие, совершаемое с персональными данными.

Обработка персональных данных всегда должна ограничиваться достижением конкретных, заранее определенных и законных целей. При обработке персональных данных нужно обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

При сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Основные этапы работ по защите персональных данных

Давайте рассмотрим основные этапы организации работ, которые должны быть выполнены в организации в соответствии с законодательством РФ:

• во-первых, выполняется сбор информации о процессах обработки ПДн и применении криптографии

• далее распределяется ответственность в области организации обработки персональных данных, защиты информации и эксплуатации СКЗИ

• далее пользователи допускаются к обработке ПДн, местам хранения ПДн, эксплуатации СКЗИ

• далее разрабатывается и утверждается организационно-распорядительная документация

• классифицируют информационные системы, выполняется моделирование угроз и определение необходимых контрмер

• потом публикуется политика, сотрудники ознакамливаются с документами, правилами защиты ПДн и эксплуатации СКЗИ

• наконец осуществляется внутренний контроль соблюдения законодательства РФ.

Наиболее трудоемкими являются разработка и ввод в делопроизводство пакета документов, регламентирующего защиту ПДн. Самые важные документы по защите ПДн это:

• Уведомление Роскомнадзора об обработке ПДн

• Публичная политика обработки ПДн

• Положение о защите ПДн, в котором определяется, кто и с какими ПДн может работать, кто и какие меры защиты принимает

• Приказы о назначении ответственных лиц, а именно ответственного за организацию обработки ПДн, администратора безопасности ПДн, определение состава комиссии для установления уровня защищенности (далее – УЗ), ответственных за работу с инцидентами и некоторых других

• Инструкция по информационной безопасности, разрабатываемая для администратора безопасности ПДн

• Приказ о вводе информационных систем персональных данных (далее – ИСПДн) в эксплуатацию и акты определения УЗ всех ИСПДн

• Приказ об установлении границ контролируемой зоны

• Приказ об утверждении мест хранения материальных носителей с ПДн, где указываются субъекты ПДн, наименования носителей, описывается конкретное место хранения (шкаф, сейф, запираемый стол), а также устанавливается ответственный за сохранность

• Ряд журналов: журнал учета посетителей, учета обращений граждан, учета проверок юридических лиц и т. д

• Согласия на обработку ПДн, которые подписывают субъекты

• Обязательства о неразглашении ПДн, которые подписывают уже сотрудники организации

• Модель угроз, включающая в себя модель нарушителя

• Пакет документов на систему технической защиты ПДн

Регуляторы и проверки

Регуляторами в сфере персональных данных назначен не один, а целых три органа: Роскомнадзор - в части контроля законности обработки персональных данных, ФСБ России в части защиты персональных данных с использованием средств криптографической защиты и ФСТЭК России в части защиты персональных данных другими мерами.

Все три регулятора имеют право проводить как плановые, так и внеплановые проверки организаций, а в случае выявления нарушений привлекать к ответственности как организацию, так и конкретное должностное лицо.

Наиболее частыми нарушениями, выявленными Роскомнадзором за 1 полугодие 2017 года являются:  

• уведомление об обработке персональных данных, содержит неполные и (или) недостоверные сведения (11%)

• не приняты меры, необходимые и достаточные для выполнения требований 152-ФЗ (9%)

• несоответствие типовых форм документов требованиям законодательства РФ (7%)

• несоблюдение требований по информированию граждан об обработке их персональных данных (6%)

Системы автоматизации мероприятий по защите персональных данных

Несмотря на то, что для большинства организаций указанные мероприятия не свойственны основной деятельности и поэтому сложны, для экспертов в области защиты информации, вполне очевидно сходство и типизация этих мероприятий от организации к организации. Как и в любом другом виде деятельности, рутинные и повторяющиеся действия можно и нужно было автоматизировать, поэтому появляются системы автоматизации организационных мероприятий по защите информации.

Существует много сервисов, которые позволяют разработку внутренних документов и поддержание их в актуальном состоянии, проведение обучений сотрудников, выполнений требований по эксплуатации СКЗИ.  Преимуществами систем автоматизации является существенное снижение затрат на мероприятия, так как все необходимые действия занимают минимум времени и не требуют большой экспертизы. Также использование подобных систем выгоднее, чем привлечение интеграторов для выполнения всех работ.  Получаемые в результате работы с системой документы соответствуют требованиям законодательства РФ. Разработчики отслеживают все изменения в нормативно-правовых актах, а кроме этого, периодически улучшают документы по обращениям пользователей и по результатам прохождения государственного контроля. В результате документы регулярно обновляются и совершенствуются.

Рабочая группа Ассоциации РОСТК постоянно проводит мониторинг существующих сервисов, для выявления наиболее отвечающего требованиям и готова дать заключение о качестве услуги.

Important: 
Important_weight: 
3