Административная ответственность за нарушения законодательства в сфере персональных данных
Интересно, что законодатель разделил ответственность должностных лиц государственных и муниципальных органов от ответственности должностных лиц частных организаций. Так, п. 7 предусматривает для указанных лиц штраф от 3 до 6 тысяч рублей за невыполнение обязанности по обезличиванию персональных данных/несоблюдение установленных требований/методов по обезличиванию персональных данных.
П. 1: Незаконная обработка персональных данных/обработка персональных данных, несовместимая с целями их сбора, влечет предупреждение или наложение административного штрафа в размере:
на граждан -от 1 тысячи до 3 тысяч рублей;
на должностных лиц - от 5 тысяч до 10 тысяч рублей;
на юридических лиц - от 30 тысяч до 50 тысяч рублей.
П. 2: Обработка персональных данных без согласия в письменной форме субъекта персональных влечет наложение административного штрафа в размере:
на граждан в размере от 3 тысяч до 5 тысяч рублей;
на должностных лиц - от 10 тысяч до 20 тысяч рублей;
на юридических лиц - от 15 тысяч до 75 тысяч рублей.
Так как за данное нарушение предусмотрена самая высокая сумма штрафа, стоит особо отметить, что, согласно информации на сайте Роскомнадзора, доказательством получения интернет- магазином согласия на обработку персональных данных является лишь файл электронной цифровой подписи. Учитывая, что из числа граждан такой подписью владеют единицы, трудно представить, что будет, если государственные органы станут следовать данному предписанию буквально.
П. 3: Не опубликование либо ограничение доступа к документу, определяющему политику организации в отношении обрабатываемых персональных данных влечет предупреждение или наложение административного штрафа в размере:
на граждан 700 - 1,5 тысяч рублей;
на должностных лиц - 3 - 6 тысяч рублей;
на индивидуальных предпринимателей - 5 -10 тысяч рублей;
на юридических лиц 15 - 30 тысяч рублей.
П. 4: Непредоставление субъекту персональных данных информации, касающейся обработки его данных влечет предупреждение или наложение административного штрафа в размере:
на граждан в размере 1 -2 тысячи рублей;
на должностных лиц 4 - 6 тысяч рублей;
на индивидуальных предпринимателей 10 - 15 тысяч рублей;
на юридических лиц 20 - 40 тысяч рублей.
П. 5: Невыполнение оператором требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении влечет предупреждение или наложение административного штрафа в размере:
на граждан в размере 1 - 2 тысячи рублей;
на должностных лиц 4 -10 тысяч рублей;
на индивидуальных предпринимателей 10 - 20 тысяч рублей;
на юридических лиц 25 - 45 тысяч рублей.
П. 6: Невыполнение оператором (без использования средств автоматизации) обязанности по соблюдению условий хранения персональных данных, если это повлекло неправомерный или случайный доступ к персональным данным, влечет наложение административного штрафа:
на граждан в размере 700 рублей - 2 тысячи рублей;
на должностных лиц 4 - 10 тысяч рублей;
на индивидуальных предпринимателей 10 - 20 тысяч рублей;
на юридических лиц 25 - 50 тысяч рублей.
Немаловажное значение имеет то, какие условия указаны в договоре/иных документах, подписываемых субъектом персональных данных.
Рассмотрим несколько примеров из судебной практики. В первом деле суды встали на сторону граждан-субъектов персональных данных. Во втором-организации, требующей возврата долга по договору кредитной карты.
1) Жильцы многоквартирного дома, согласно заключенному договору услуг, получали коммунальные услуги от ООО "Управляющая компания "Новый город".
Между данным Обществом и энергоснабжающей организацией впоследствии был заключен смешанный агентский договор с элементами цессии, в соответствии с условиями которого Общество передало право требования задолженности за жилищно-коммунальные услуги, образовавшийся у некоторых жильцов.
Данные жильцы обратились в управление с заявлением о нарушении своих прав. Проверка выявила передачу персональных данных организации от Общества, не проинформировав граждан об этом.
Обществу было выдано предписание об устранении нарушения. Общество обратилось в суд. Суд признал Общество оператором персональных данных, а также признал факт нарушения неправомерной обработки персональных данных, так как до начала обработки данных им должна была быть предоставлена информация о себе как операторе.
Суды также отметили, что договором предусмотрена прямая обязанность Общества не распространять конфиденциальную информацию, касающуюся собственника и не передавать ее иным лицам, в том числе организациям, без письменного разрешения.
Ранее, в законную силу вступило постановление мирового судьи (и подтвержденного решением районного суда), согласно которому в действиях Общества был установлен состав административного правонарушения по ст. 13.11 КоАП, Обществу назначено административное наказание в виде штрафа в размере 5 тысяч рублей*.
2) Между физическим лицом, С.И.Г. и АО "Тинькофф Банк" заключен договор кредитной карты.
При заключении договора истец в анкете-заявлении выразила согласие на ее персональных данных банком любыми способами, в том числе третьими лицами. Однако, С.И.Г. свое согласие на обработку персональных данных отозвала, несмотря на это, банк передал персональные данные С.И.Г. Обществу "Феникс", сотрудники которого постоянно звонят с угрозами. Полагает, что действия банка по передаче персональных данных третьему лицу противоречат требованиям ФЗ "О персональных данных", причиняют нравственные страдания. Просила взыскать компенсацию морального вреда по 30000 рублей с каждого ответчика.
Суды первой и апелляционной инстанций указали, что передача персональных данных С.И.Г. третьему лицу после получения заявления об отзыве согласия законно и не может являться поводом для получения компенсации морального вреда: оператор вправе продолжить обработку персональных данных даже в отсутствие согласия субъекта персональных данных, в случаях, если это требуется для исполнения договорных обязательств.
Суд указал, что ООО "Феникс" не обязано получать согласие С.И.Г. на обработку ее персональных данных, поскольку действует по поручению оператора персональных данных**.
* Постановление федерального арбитражного суда Уральского округа от 13 января 2012 г. N Ф09-9061/11.
** Апелляционное определение Свердловского областного суда по делу N 33-17390/2016.
Юрист ООО "Ависто"
© Кривошапова Ольга
Если вам требуется помощь юриста, бухгалтера или консультанта по налогам, мы будем рады помочь - звоните (495) 135-00-16 или обращайтесь любым доступным способом.