Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Штрафы в области персональных данных в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Ответственность за нарушения по персональным данным
Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ).
До 1 июля 2017 года размеры штрафов за нарушение закона о персональных данных составляют:
- для юридических лиц – от 5 тыс. до 10 тыс. руб.;
- для должностных лиц – от 500 до 1 тыс. руб.
Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.
|
Вид нарушения |
Размер штрафа |
|
|
для юридических лиц |
для должностных лиц |
|
| Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. | От 30 тыс. до 50 тыс. руб. | От 5 тыс. до 10 тыс. руб. |
| Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
| Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
| Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных | От 15 тыс. до 50 тыс. руб. | От 3 тыс. до 10 тыс. руб. |
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Ответственность за нарушение законодательства
Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).
Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.
Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):
- 6–10 тыс. руб. — на граждан;
- 20–40 тыс. руб. — на должностных лиц;
- 30–150 тыс. руб. — на юридических лиц.
ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.
Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).
Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Примеры нарушений обработки ПДю
На примерах судебных решений рассмотрим случаи обработки ПД, содержащие состав нарушений, предусмотренных новой редакцией ст. 13.11 КоАП РФ.
Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016: адвокат в рамках оказания юридических услуг, позвонил со своего телефонного номера в банк для получения информации по задолженности клиента, с которым был заключен договор. Впоследствии представители банка стали регулярно звонить адвокату по вопросу погашения задолженности, не реагируя на требования уничтожить его персональные данные. Суд первой инстанции, куда обратился адвокат с требованием об уничтожении персональных данных и взыскании компенсации морального вреда, счел действия представителей банка неправомерными. Апелляционный суд поддержал этот вывод.
Напомним, что использование ПД, в том числе с целью совершения адресных звонков абоненту, является одним из видов обработки ПД. Данная обработка производилась без согласия субъекта: это случай, не предусмотренный Законом о ПД (санкции по п. 1 ст. 13.11 КоАП РФ – штраф для должностного лица до 10 тыс. руб., для банка до 50 тыс. руб.).
Банк посчитал: поскольку персональные данные адвоката (в том числе номер его телефона) размещены в открытом доступе, то есть в Интернете, согласие на их обработку не требуется. Суд указал, что телефонный номер адвоката был размещен в Сети в целях оказания юридических услуг, в то время как банк воспользовался его персональными данными с другой целью, а именно с целью доведения до заемщика через адвоката информации в связи с задолженностью по кредиту, – санкции по п. 1 ст. 13.11 КоАП РФ.
Мы видим другое нарушение: в силу ч. 1 ст. 14 Закона о ПД субъект вправе требовать от оператора уничтожения его персональных данных в случае, если персональные данные являются незаконно полученными, а также принимать предусмотренные законом меры по защите своих прав. Банк не отреагировал на требование адвоката и продолжал использовать персональные данные субъекта, что может быть расценено как нарушение п. 5 ст. 13.11 КоАП РФ (штраф для должностного лица до 10 тыс. руб., для организации – до 45 тыс. руб.).
Постановление Волгоградского областного суда от 15.04.2011 по делу № 7а-391/11: при проверке колледжа прокуратурой было выявлено, что в организации отсутствуют документы об установлении мест хранения персональных данных, перечня мер, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним, не определен круг лиц, ответственных за реализацию вышеуказанных мер. Должностное лицо было оштрафовано на 500 руб. по ст. 13.11 КоАП РФ. По новым нормам это нарушение п. 6 ст. 13.11 КоАП РФ, предусматривающее штраф для должностных лиц до 10 тыс. руб., для организаций – до 50 тыс. руб.
Комментарии к ст. 13.11 КОАП РФ
1. Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» информация о гражданах (персональные данные) определяется как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ч. 1 ст. 3 указанного Закона). Свойства данной информации — обеспечивать идентификацию конкретного лица — предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных (для статистических или иных научных целей), а также в отношении общедоступных персональных данных (ч. 3 ст. 6, ст. 7). Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.
Такая защита обеспечивается в первую очередь путем установления конституционного запрета осуществлять сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также требованием судебного решения для ограничения тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. ст. 23 и 24 Конституции РФ). Статьей 19 Конституции РФ запрещаются также любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.
Федеральный закон » О персональных данных» рассматривает согласие субъекта персональных данных на обработку сведений о его частной жизни в числе одного из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, включая информацию персонального характера.
Из данного основополагающего принципа согласия могут иметь место исключения, предусмотренные в законодательном порядке, в том числе в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, оперативно-розыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, а также в случаях, связанных с медицинскими и медико-профилактическими целями (п. п. 2 — 7 ч. 2 и ч. 3 ст. 10, ч. 2 ст. 11, п. п. 2 — 5 ч. 3 ст. 12 Федерального закона «О персональных данных»).
2. Комментируемая статья закрепляет в качестве основания применения административной ответственности нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Упомянутый Федеральный закон регулирует данный порядок, устанавливая принципы и условия обработки персональных данных (ст. 5, ч. 1 ст. 6; ст. ст. 9 — 13), обеспечивающие, в том числе порядок реализации права субъекта данных на согласие; порядок осуществления иных прав субъекта персональных данных, включая право на доступ субъекта к своим персональным данным (ст. 14); права субъекта данных при обработке его персональных данных (ст. ст. 15 — 16); право на обжалование действий или бездействия оператора (ст. 17); обязанности оператора по обработке персональных данных (ст. ст. 18 — 22).
3. Объектами административных правонарушений являются общественные отношения, складывающиеся в области защиты информации. Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).
4. Субъектами правонарушений могут быть граждане, должностные, юридические лица, умышленно или по неосторожности допускающие указанные нарушения.
Законодательство РФ устанавливает обязанности представителей определенных профессий (врачей, адвокатов, нотариусов и др.) по сохранению в тайне полученной информации и указывает на уголовную, гражданскую и административную ответственность за разглашение таких сведений. УК РФ и ГК РФ предусматривают такую ответственность (см. ст. ст. 137, 138, 155 УК РФ, ст. 152 ГК РФ).
Помимо комментируемой статьи, КоАП РФ предусматривает также ответственность граждан и должностных лиц за нарушение правил защиты информации (ст. 13.12), за разглашение информации с ограниченным доступом (ст. 13.14), а также ответственность должностных лиц за отказ в предоставлении информации (ст. 5.39).
5. Дела о правонарушениях, предусмотренных комментируемой статьей, возбуждаются прокурорами (ч. 1 ст. 28.4) и рассматриваются судьями (ч. 1 ст. 23.1).
Что делать при незаконном разглашении персональных данных?
Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.
В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.
Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.
Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.
Предоставление персональных данных пациенту или его законному представителю
Медицинская организация обязана сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152-ФЗ).
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.
Ответственность за несоблюдение закона «О персональных данных»
За неисполнение закона о защите данных предусмотрена уголовная и административная ответственность. «За неправомерный доступ к охраняемой законом компьютерной информации наступает ответственность по ст. 272 Уголовного кодекса РФ, — говорит управляющий директор компании „ЮрПартнерЪ“ Антон Толмачев. — Но это тяжелая артиллерия. Чаще нарушение закона „О персональных данных“ является административным правонарушением, например, по статье 13.14 КоАП РФ „Разглашение информации с ограниченным доступом“ или статье 13.12 „Нарушение правил защиты информации“». «Сейчас компания несет административную ответственность за нарушение порядка обработки персональных данных в виде штрафа от 5 до 10 тысяч рублей (ст. 13.11 КоАП РФ) и за нарушение требований о защите информации — от 10 до 15 тысяч рублей (ч. 6 ст. 13.12 КоАП РФ)», — поясняет Кирилл Митягин, партнер Nevsky IP Law.
О других видах ответственности
К дисциплинарной ответственности руководитель учреждения может привлечь работника за нарушения, которые обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). За дисциплинарный проступок руководитель может наказать работника, сделать замечание, объявить выговор и даже уволить (ч.1 ст. 192 ТК РФ).
Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.
Самый страшный вид ответственности – это уголовная. Она может наступить за незаконные действия:
- сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
- распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.
§ 1. Применение административной ответственности
Проблема применения мер ответственности за нарушение законодательства о защите персональных данных является новой как для юридической науки, так и для правоприменительной практики. Комплексные исследования на эту тему пока не проводились. Правоприменительная практика пока невелика. В то же время сегодня эта проблема, как никогда, актуальна. Закон эффективен лишь в том случае, если в нем заложен оптимальный механизм его реализации. Одним из самых главных элементов механизма реализации закона является институт юридической ответственности. В связи с этим всесторонняя разработка проблемы юридической ответственности в сфере оборота и защиты персональных данных имеет огромное значение. Только будучи подкрепленными соответствующими мерами ответственности могут быть достигнуты те цели, которые законодатель предусмотрел в Законе о персональных данных. Это тем более важно, если принять во внимание особенности менталитета российского общества. Отсутствие укоренившихся традиций уважения к приватности частной жизни, к строгому соблюдению норм закона создает серьезные трудности в его реализации.
Правосознание большей части российского общества формировалось под влиянием советской идеологии, которая провозглашала приоритет коллективных интересов над личными. Поэтому в настоящее время отсутствие привычки охранять собственную частную жизнь от неправомерного вмешательства является благоприятной почвой для деятельности разного рода мошенников, незаконно пользующихся персональными данными для рекламных и прочих целей. В таких условиях последовательная политика по применению мер юридической ответственности за соответствующие правонарушения является насущной необходимостью.
В рамках настоящей главы будет предпринята попытка систематизировать соответствующие составы правонарушений по правовым отраслям, указать на проблемы совершенствования законодательства об ответственности, осветить некоторые теоретические и практические вопросы, могущие возникнуть при применении тех или иных санкций за нарушение законодательства о защите персональных данных в свете принятого недавно Закона о персональных данных.
Следует отметить, что отдельные нормы, устанавливающие меры ответственности за нарушение правил обработки персональных данных, существовали и до принятия этого Закона. Однако из-за того, что институт персональных данных находился в стадии формирования, санкции практически не применялись.
В настоящее время существует необходимость в разработке целого комплекса мер ответственности, применяемых за правонарушения, предметом которых непосредственно выступают персональные данные личности, и включения их в соответствующие кодексы.
Сначала коснемся некоторых общих вопросов, связанных с проблемой юридической ответственности как таковой.
В праве неправомерные действия (бездействие), являющиеся правонарушениями, влекут наступление юридической ответственности, в рамках которой на виновное лицо возлагается обязанность претерпеть неблагоприятные последствия. В большинстве случаев ответственность наступает в случае виновного нарушения норм. Вина, т.е. психическое отношение лица к своему противоправному поведению (действию или бездействию) и его последствиям, является субъективной стороной состава любого правонарушения (дисциплинарного, административного, гражданско-правового, уголовного) и (чаще всего) условием юридической ответственности. Вина может проявляться в форме умысла (прямого или косвенного) и неосторожности (самонадеянности или небрежности).
Обратимся теперь к краткому анализу понятия «санкция». Как справедливо отмечается в специальной литературе, оно имеет несколько значений. В одном случае — это утверждение, разрешение, в другом — одобрение. В юридических словарях понятие санкции раскрывается в связи с учением о правовой норме. Санкция определяется как часть нормы права, указывающая либо на те меры государственного принуждения, которые применяются к нарушителям диспозиции данной нормы, либо на те последствия, которые должны наступить для лиц, нарушивших предписания данной нормы .
———————————
См.: Энциклопедический словарь правовых знаний. М. 1964. С. 259.
Важным является вопрос о соотношении понятий санкции и государственного принуждения. Охрана правопорядка предполагает осуществление многих принудительных мер, которые, однако, далеко не всегда связаны с применением санкций. Право содержит целый ряд принудительных мер (задержание, арест имущества, досмотр, применение средств физического воздействия), которые хотя и применяются в связи с правонарушениями, однако санкциями правовых норм не являются. Речь идет о принудительных мерах, получивших в теории права название мер пресечения. Основанием для применения этих мер, как и для применения санкций, является правонарушение. Вместе с тем эти меры преследуют обеспечительные, вспомогательные цели и направлены либо на пресечение правонарушения, либо на обеспечение рассмотрения обстоятельств дела. Санкция же представляет собой «последнюю инстанцию» в борьбе с правонарушением. В результате ее применения государство в соответствии со степенью общественной опасности и вредности правонарушения либо карает правонарушителя, либо принуждает его выполнить соответствующую правовую обязанность или устранить причиненный вред . Именно в этом смысле используется термин «санкция» в данной работе.
———————————
Веремеенко И.И. Административно-правовые санкции. М. 1975.
В Законе о персональных данных статья об ответственности сформулирована лаконично: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность» (ст. 24). Поскольку указанная норма является отсылочной, то установление конкретных видов правонарушений и применение соответствующих мер ответственности должно регулироваться иными нормативными актами.
В настоящее время меры ответственности за нарушение законодательства о защите персональных данных «разбросаны» по различным отраслям законодательства — административному, уголовному, гражданскому, трудовому. Причем ни в одной отрасли они пока не систематизированы должным образом, не выделены в отдельную группу как правонарушения, посягающие на конкретный вид общественных отношений. Однако, по всей видимости, в ближайшем будущем потребуется как совершенствование и систематизация уже существующих составов, так и разработка новых.
Интересно отметить, что во многих европейских странах демонстрируется иной подход к установлению мер ответственности за нарушения законодательства о защите персональных данных. Так, в соответствующих законах Дании, Испании и Швеции вопросы применения мер ответственности урегулированы этими законами, содержащими перечни составов правонарушений и соответствующие виды санкций . В России же традиционно нормы об ответственности содержатся в другом нормативном акте.
———————————
См.: Защита персональных данных. Опыт правового регулирования. М. 2001.
Меры административной ответственности за нарушения законодательства в сфере персональных данных содержатся в КоАП РФ.
В соответствии со ст. 2.1 КоАП административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое Кодексом или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность.
Сразу отметим, что поскольку в соответствии с п. «к» ст. 72 Конституции РФ административно-правовые отношения относятся к сфере совместного ведения, то субъекты РФ вправе издавать законы, содержащие дополнительные к федеральным составы административных правонарушений, т.е. субъекты РФ вправе устанавливать специальные меры ответственности за нарушения законодательства о персональных данных.
Кто имеет право собирать и хранить персональные данные
Любой человек или организация обрабатывает личную информацию. Собирать и хранить персональные данные имеет право организация или физическое лицо. Главное, чтобы перед сбором информации люди дали согласие, и были предупреждены о том, что сведения о них будут храниться и обрабатываться.
Сбор персональных данных бывает связан с чем угодно. Это может быть регистрация на сайте, заполнение какой-либо анкеты, трудоустройство в компанию, сотрудничество с различными организациями и тому подобное. Важно, чтобы сбор информации был целевым. То есть компания не может просто так собирать сведения, не имеющие никакого отношения к взаимоотношениям с клиентами.
Физическое или юридическое лицо обязано обеспечивать сохранность и ограниченный доступ к личной информации. Ни в коем случае нельзя передавать эти сведения третьим лицам. Предусмотрена ответственность за нарушение персональных данных. Если обратиться в правоохранительные органы нарушитель понесет наказание. За совершение данного преступления предусмотрена, в том числе, уголовная ответственность.