Ответственность за утечку персональных данных

Содержание

«Утечки неизбежны»: кто ответственен за персональные данные

Ответственность за утечку персональных данных

В последние годы проблема защиты персональных данных (ПД) приобрела особенную остроту.

Социальными сетями и медиаплатформами пользуется огромное количество пользователей по всему миру, предоставляя свою личную информацию в обмен на возможность присоединиться и воспользоваться определенными услугами.

При этом в руках крупных IT-компаний оказываются огромные массивы данных, расшифровав которые можно узнать любые подробности жизни человека.

Когда мы отдаем свои персональные данные, порядочные компании обещают их защищать — к этому их обязывает законодательство. По словам технического директора ООО «ТСС», специализирующегося на информационной безопасности, Ильи Шарапова, защитить персональные данные — не такая уж невыполнимая задача.

Это может быть достигнуто с помощью шифровальных (криптографических) средств, средств предотвращения несанкционированного доступа, утечки информации по техническим каналам (DLP-системы), а также с помощью других технических и организационных мер.

По словам Шарапова, в современном обществе проблема утечек встала остро в связи с несколькими факторами.

«Во-первых, это вызвано халатностью или злым умыслом сотрудников, их некомпетентностью, выполнением требований закона «для галочки», а не по факту (мы сами становились свидетелями того, как в некоторых российских ведомствах и министерствах устанавливались средства НСД, но они не использовались сотрудниками). Наконец, проблема коррупции: сами сотрудники часто торгуют базами данных», — пояснил собеседник «Газеты.Ru».

В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ.

В российском законодательстве довольно четко прописана ответственность за нарушение закона о персональных данных. Она включает как административные, гражданско-правовые и дисциплинарные, так и уголовные меры.

Как отмечает специалист по информационной безопасности и генеральный директор «Лаборатории Цифровой Форензики» Александр Мамаев, на бумаге все довольно четко прописано и зафиксировано. Однако даже законодатели зачастую плохо владеют предметом.

«Не так давно председатель Госдумы Вячеслав Володин, например, предложил создать рабочую группу по защите персональных данных. Он заявил: «Это не сворованные хакерами данные, это системы реестра Минфина, Минюста, Минтруда, электронные торговые площадки.

Это говорит об отсутствии защиты этих данных, и, в принципе, большая часть информации — она находится в открытом доступе, ее надо найти, систематизировать и использовать».

Но, как уже было сказано выше, законы есть, и они четко классифицируют требования и правила использования персданных.

Однако, персональные данные россиян действительно часто утекают в открытые источники, или же становятся предметом купли-продажи. Согласно исследованию компании Dentsu Aegis Network, лишь 29% россиян считают, что их персональные данные защищены в достаточной степени.

В ноябре 2018 года «Лаборатория Касперского» объявила, что «цифровая личность» человека в даркнете продается за $50. Здесь имеются в виду реквизиты банковских карт и счетов, аккаунты в социальных сетях, удаленный доступ к серверам и персональным компьютерам, а также сведения из приложений для знакомств и полный список посещаемых порносайтов.

Согласно данным компании Comparitech, скан паспорта россиянина в даркнете продается за $10-11. Этого порой оказывается достаточно, чтобы оформить счет или кредит на имя жертвы в банке.

По словам Александра Мамаева, рассчитывать на то, что жертвам утечек удастся отсудить существенные компенсации у частных компаний или госорганов, не приходится.

«Один подобный процесс, увенчавшийся успехом, может привести к цепной реакции, когда каждый пользователь, сталкивавшийся с утечкой данных, обратится в суд за компенсацией.

Учитывая низкий уровень защиты персданных в России, это может обернуться разорением банков, IT-ритейлеров, сервисов по покупке билетов и т.д.

Следом иски можно вчинить и госорганам, которые, несмотря на требования закона, весьма халатно относятся к защите персональных данных россиян. Подобные иски могут очень больно ударить по бюджету страны», — заключил собеседник «Газеты.Ru».

Действующий закон «О персональных данных» позволяет физическим лицам требовать в суде возмещения имущественного и морального вреда, причиненного вследствие нарушения требований к обработке персональных данных.

Основная проблема на пути самостоятельной защиты гражданами своих прав – трудность доказывания размера убытков, а также неготовность судов к присуждению существенных сумм компенсации морального вреда, рассказывает партнер юридической компании 2b law office Антон Городецкий.

«Именно поэтому в России число судебных дел в данной категории исчисляется десятками, что, очевидно, несопоставимо с количеством нарушений в данной сфере», — пояснил Городецкий.

По мнению Антона Городецкого, первая проблема – относительно небольшой размер штрафов. Штрафы для юридических лиц за нарушение порядка обработки персональных данных находятся в диапазоне от 15 000 до 75 000 рублей.

Это сумма может быть существенной для небольших компаний, но для крупных игроков рынка персональных данных, зарабатывающих огромные деньги на торговле персональными данными, такие штрафы не могут играть сдерживающей функции.

«Сравните, например, размер наших штрафов, со штрафами, предусмотренными Общим регламентом о защите персональных данных (GDPR), где верхняя граница штрафа составляет 20 миллионов евро, или 4% от мирового оборота компании-нарушителя», — заявил эксперт.

Другая проблема, препятствующая эффективной защите прав субъектов персональных данных (самостоятельной и силами органов государственной власти) – отсутствие физического представительства и какого-либо имущества компаний нарушителей на территории России, что делает невозможным фактическое исполнение принятых судебных актов. В таких случаях у остаётся единственный инструмент – блокировка сайтов компаний-нарушителей, что также не всегда способно достичь цели защиты персональных данных.

Есть несколько прецедентов, когда в России штрафовали крупные иностранные компании. Так, и были оштрафованы на 3 тыс. руб.

каждая за непредоставление информации о переносе персональных данных российских пользователей в Россию.

Обязанность хранить данные граждан РФ на российских серверах появилась у интернет-компаний после вступления в силу закона «О персональных данных» в сентябре 2015 года.

При этом официально у , и некоторых других компаний Кремниевой долины нет российских юридических лиц и постоянного представительства в России, то есть у них формально нет обязанности отвечать на запросы Роскомнадзора и подчиняться российским законам.

В апреле 2019 года АНО «Цифровая экономика», занимающаяся реализацией одноименной программы, выступила с предложением запретить таким компаниям иметь доступ к персональным данным россиян.

Одной из причин называются нечестные условия конкуренции зарубежных и российских IT-компаний, так как к последним предъявляются более жесткие требования.

Как следует из документа,

«необходимо избежать ситуации, когда иностранные компании, которые не соблюдают требования законодательства Российской Федерации, устанавливающего ограничения доступа к данным, будут иметь более привилегированное положение по отношению к российским компаниям, которые данные требования соблюдают».

Эта проблема касается и «Яндекса», которым владеет компания, зарегистрированная в Нидерландах.

В том числе поэтому в конце июля в Госдуму был также внесен проект об ограничении в 20% на иностранное владение информационными ресурсами, которые будут признаны «значимыми» для России.

Этот критерий предлагается оценивать по количеству активных российских пользователей сервиса. Автор законопроекта депутат от «Единой России» Антон Горелкин утверждает, что если ресурс является «значимым», то его основной владелец должен быть зарегистрирован в России.

Впрочем, у «Яндекса» есть зарегистрированное юридическое лицо в России, он обязан соблюдать российское законодательство и подчиняться требованиям Роскомнадзора.

За рубеж руки не дотянутся

В Европейском союзе на страже персональных данных пользователей стоит Общий регламент по защите данных (GDPR), принятый в мае 2018 года. Как объяснил руководитель юридического отдела хостинг-провайдера REG.

RU Павел Патрикеев, одна из ключевых особенностей GDPR заключается в том, что действие данных правил применяется к компаниям, обрабатывающим персональные данные резидентов и граждан ЕС и явно нацеленных на такую обработку, независимо от местонахождения такой компании.

Практика привлечения европейских компаний к ответственности за нарушение постепенно формируется: ещё в 2018 году в связи с утечкой данных и нарушением условия о необходимости хранения данных пользователей в зашифрованном виде на 20 тысяч евро была оштрафована немецкая компания Knuddels GmbH & Co KG (компания-владелец немецкого онлайн-чата и сервиса для знакомств Knuddels). За похожее нарушение, связанное с предоставлением недостаточной степени защиты пользовательских данных на случай утечки, на 183 млн фунтов стерлингов была оштрафована и авиакомпания British Airways.

Одним из наиболее крупных примеров привлечения к ответственности не эндемика, иностранной компании по GDPR в настоящий момент является штраф американской компании Google регулятором Франции (CNIL) в размере 50 млн евро за предоставление неполной и непрозрачной информации владельцам ОС Android, а также за ряд иных смежных нарушений в области обработки персональных данных (однако это не единственный случай привлечения к ответственности по GDPR американской компании — так, штрафы по данному Регламенту уже получили Uber и ).

«Как уже было показано выше, факт наличия или отсутствия офиса компании (ее представительства) на территории ЕС не является принципиальным: в GDPR заложен принцип экстерриториальности, а значит предписания могут быть направлены и иностранным организациям, присутствующим в Европе лишь виртуально, но при этом дежурно обрабатывающих данные европейских граждан — примером такого кейса служит предписание британского регулятора по GDPR канадской компании AggregateIQ Data Services», — рассказывает Патрикеев.

Однако, в случае если ни организация-оператор ПД, ни субъект ПД не являются резидентом ЕС, либо не находятся на территории Союза — в таком случае компания не может быть привлечена за нарушение. И уж тем более гражданин не может с ней судиться лично.

В свою очередь, 152-ФЗ имеет ряд существенных отличий от GDPR, одно из которых — требования о локализации баз данных с данными россиян на территории России.

В широком смысле, 152-ФЗ экстерриториального действия не имеет и не распространяется на нерезидентов (лиц, не имеющих официальное присутствие в России), собирающих персональные данные Россиян за границей. Однако, в контексте необходимости локализации данных на территории РФ, значение имеет наличие у иностранной организации целенаправленной деятельности по сбору данных.

Получается, что GDPR является более продвинутой версией 152-ФЗ, позволяя привлекать к ответственности за утечку персональных данных даже те компании, которые не являются резидентами ЕС, но имеют доступ к информации граждан Европейского союза.

«Таким образом, в настоящий момент GDPR представляет собой более совершенный инструмент по привлечению иностранных компаний к ответственности за нарушение национальных требований к обработке персональных данных, так как в нем изначально отсутствует ограничение сферы действия только по национальному принципу (месту инкорпорации компании).

Хотя по ряду оснований по 152-ФЗ иностранная компания также может быть привлечена к ответственности за нарушение правил (например, при неисполнении требований о локализации данных), тем не менее 152-ФЗ не предоставляет такого гибкого инструментария субъектам ПД по привлечению иностранных компаний, обрабатывающих их данные за рубежом, к ответственности на территории Российской Федерации», — заключил собеседник «Газеты.Ru».

Что же касается ситуации в США, то защита персональных данных пользователей регулируется отдельными отраслями. Специального федерального закона о ПД на территории страны не существует — его заменяют локальные нормативные акты, зачастую действующие на территории отдельных штатов, и узкоспециальные законы.

Часть работы по защите ПД берет на себя Федеральная торговая комиссия (FTC) США, которая следит за соблюдением ряда законов и соглашений. Так, например, именно FTC оштрафовала социальную сеть на $5 млрд за скандал с Cambridge Analytica, который привел к утечке личной информации 87 млн пользователей, не дававших согласия на ее использование.

Отсутствие универсального закона по защите ПД в США является существенной проблемой для страны, на чьей территории расположена Кремниевая долина, являющаяся средоточием крупнейших IT-компаний. За принятие в Америке аналога GDPR выступают как законодатели, так и сами резиденты Долины — например, Microsoft и Apple.

В 2018 году Калифорния приняла закон о приватности данных потребителей (California Consumer Privacy Act, или CCPA), который повторяет некоторые принципы GDPR. Этот закон должен вступить в силу уже в 2020 году. Некоторые представители IT-индустрии поддержали инициативу, назвав ее важным шагом на пути к единому федеральному закону по защите персональных данных.

Источник: https://www.gazeta.ru/tech/2019/08/09_a_12567469.shtml

Кто и какую ответственность несет за нарушение законодательства о персональных данных

Ответственность за утечку персональных данных
КонсалтикаПлюс » Правовая поддержка » Новости законодательства » Кто и какую ответственность несет за нарушение законодательства о персональных данных

Если вы обрабатываете персональные данные граждан (клиентов, сотрудников), то за нарушения по работе с этими данными вас могут привлечь прежде всего к административной ответственности. Например, административный штраф может быть назначен за сбор персональных данных в ненадлежащих целях.Гражданско-правовая ответственность наступит, если вы причинили убытки или моральный вред гражданину. Своих сотрудников, допустивших нарушение, вы можете привлечь к дисциплинарной и материальной ответственности. Как работодатель вы отвечаете за нарушение правил работы с персональными данными работников.Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

1. Какая административная ответственность грозит за нарушение законодательства о персональных данных

2. В чем состоит гражданско-правовая ответственность

3. Какую ответственность несут работник и работодатель за нарушения законодательства о персональных данных

4. В каких случаях нарушение законодательства о защите персональных данных может повлечь уголовную ответственность

1. Какая административная ответственность грозит за нарушение законодательства о персональных данных

Административная ответственность установлена:

  • за нарушение правил обработки персональных данных;
  • неисполнение обязанностей при взаимодействии с гражданином – субъектом персональных данных;
  • невыполнение требований по защите персональных данных;
  • неисполнение обязанностей при взаимодействии с Роскомнадзором.

Если в ходе проверки будет выявлено несколько нарушений, к ответственности вас привлекут за каждое из них. Также обратите внимание, что к ответственности за нарушение могут одновременно привлечь и организацию, и виновное физическое лицо (ч. 3 ст. 2.1 КоАП РФ).

Основной вид административного наказания за нарушение законодательства о персональных данных – штраф, размер которого зависит от конкретного нарушения. Максимально возможный – 75 000 руб.

Он предусмотрен для организации за обработку персональных данных без письменного согласия гражданина, когда такое согласие требуется, или за отсутствие в нем всех необходимых сведений (ч. 2 ст. 13.

11 КоАП РФ).

Далее рассмотрим подробнее группы нарушений и размеры штрафов за них.

Когда вместо административного штрафа возможно предупреждение

Это возможно, если такая санкция предусмотрена за ваше нарушение, вы совершили его впервые и при этом соблюдены условия, перечисленные в ч. 2 ст. 3.4 КоАП РФ. Если вы субъект малого и среднего предпринимательства, штраф вам и вашим работникам могут заменить на предупреждение, даже если норма этого не предусматривает (ч. 3 ст. 3.4 КоАП РФ).

1.1. Административная ответственность за нарушение правил обработки персональных данных

К административной ответственности за нарушение правил обработки вашу организацию и ее должностных лиц могут привлечь, если вы будете обрабатывать персональные данные:

1)   в не предусмотренных законом случаях (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 10 000 руб., для организации – 50 000 руб.

Перечень случаев, в которых допускается обработка персональных данных, установлен в ч. 1 ст. 6 Закона о персональных данных. К их числу относится и обработка с согласия физлица, но обратите внимание, что под него состав отдельный – по ч. 2 ст. 13.11 КоАП РФ;

См. также: Что считается обработкой персональных данных

2)   в целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 10 000 руб., для организации – 50 000 руб.

Учтите, что у вас должны быть заранее определены законные и конкретные цели обработки персональных данных и все ваши действия с персональными данными должны им соответствовать (ч. 2, 5 ст. 5 Закона о персональных данных);

3)   без согласия, когда оно требуется, или с согласия, но с неполными сведениями (ч. 2 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 20 000 руб., для организации – 75 000 руб.

Обратите внимание, что согласие требуется далеко не всегда, есть большой перечень случаев, когда в нем нет необходимости.

См. также: Случаи, когда согласие не нужно и когда оно требуется

1.2. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с гражданином

Вас могут привлечь к ответственности, если вы:

1)   в определенный срок не представите гражданину запрошенную им информацию (ч. 4 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 6 000 руб., для организации – 40 000 руб., для ИП – 15 000 руб.

Вас могут привлечь к ответственности, если вы, например, не подтвердите, что вы обрабатываете персональные данные, в течение 30 дней с получения соответствующего запроса гражданина (ч. 7 ст. 14, ч. 1 ст. 20 Закона о персональных данных);

2)   не выполните требование об уточнении, блокировании или уничтожении его персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 10 000 руб., для организации – 45 000 руб., для ИП – 20 000 руб.

В частности, к ответственности вас могут привлечь, если вы не уточните персональные данные в течение семи рабочих дней со дня представления субъектом актуальных сведений (ч. 2 ст. 21 Закона о персональных данных).

1.3. Административная ответственность за невыполнение требований по защите персональных данных

К такой ответственности вас могут привлечь, если вы:

1)   не опубликуете необходимые документы о вашей политике в отношении обработки персональных данных и о том, какие требования по их защите вы реализуете, или не обеспечите иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 6 000 руб., для организации – 30 000 руб., для ИП – 10 000 руб.;

2)   не обеспечите сохранность данных при их неавтоматизированной обработке, если это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (ч. 6 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц – 10 000 руб., для организации – 50 000 руб., для ИП – 20 000 руб.

1.4. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором

К административной ответственности при взаимодействии с Роскомнадзором – уполномоченным органом по защите прав субъектов персональных данных вас могут привлечь, если вы, в частности:

  • не представите информацию, запрошенную им в порядке ч. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ);
  • не выполните в срок законное предписание Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
  • будете препятствовать проведению проверки либо уклоняться от нее (ч. 1 ст. 19.4.1 КоАП РФ);
  • не выполните требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

2. В чем состоит гражданско-правовая ответственность

Нарушение законодательства в области персональных данных может повлечь гражданско-правовую ответственность в форме компенсации морального вреда, возмещения убытков, взыскания неустойки, если она была предусмотрена вашим договором.

Обратите внимание, что моральный вред вы обязаны возместить вне зависимости от того, возмещали ли вы имущественный вред физлицу и понесенные им убытки (ч. 2 ст. 24 Закона о персональных данных).

Ваша ответственность может наступить, если вы нарушаете:

  • права субъекта, установленные Законом о персональных данных;
  • правила обработки персональных данных;
  • требования к их защите.

Компенсировать моральный вред вы будете в денежной форме, размер компенсации определит суд с учетом степени вашей вины и степени страданий гражданина (ст. ст. 151, 1101 ГК РФ).

Убытки суд взыщет, если будут доказаны наступление вреда, противоправность вашего поведения и ваша вина, а также причинно-следственная связь между ними (см. Позицию КС РФ, ВС РФ, ВАС РФ). Учтите, что вина презюмируется и ее отсутствие придется доказывать вам (п. 2 ст. 1064 ГК РФ).

Обратите внимание, что возмещать вред будет организация, а не должностные лица, поскольку вред, причиненный работником, должен возмещать работодатель (п. 1 ст. 1068 ГК РФ).

3. Какую ответственность несут работник и работодатель за нарушения законодательства о персональных данных

Работодатель в этом случае может понести материальную ответственность перед своими сотрудниками.

Работника можно привлечь как к дисциплинарной, так и к материальной ответственности, если по его вине при обработке персональных данных произошло нарушение законодательства в области персональных данных.

Далее расскажем об этом подробнее.

3.1. Какую ответственность несет работодатель перед своими работниками

Вы несете материальную ответственность перед своими работниками, если, нарушив по своей вине законодательство в области персональных данных, причините им материальный ущерб и (или) моральный вред (ст. 90, ч. 1 ст. 232, ч. 1 ст. 233 ТК РФ).

Например, такое возможно, если вы не обеспечили защиту персональных данных работника (не организовали особый режим доступа, хранение в особых местах и так далее), из-за чего они стали доступны посторонним лицам.

В таком случае вы обязаны возместить работнику ущерб в полном объеме, а моральный вред – в той сумме, о которой договоритесь с работником или которую определит суд (ч. 1 ст. 235, ст. 237 ТК РФ).

Дисциплинарная ответственность для работодателя законодательством не предусмотрена.

3.2. К какой ответственности работодатель может привлечь работника

Вы можете привлечь работника к дисциплинарной и материальной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту персональных данных других работников. Но потребуется соблюсти определенные условия (ч. 1 ст. 22, ст. 90 ТК РФ).

3.2.1. Дисциплинарная ответственность работника

Работника можно привлечь к дисциплинарной ответственности, если он виноват в неисполнении (ненадлежащем исполнении) своих трудовых обязанностей по обработке персональных данных (ч. 1 ст. 192 ТК РФ).

Например, такое возможно, если работник отдела кадров разгласит персональные данные других лиц, которые стали ему известны в связи с исполнением своих трудовых обязанностей и которые он обязался не разглашать.

Такие действия могут быть признаны однократным грубым нарушением работником трудовых обязанностей. И в этом случае вы вправе применить к нему дисциплинарное взыскание вплоть до увольнения по пп. “в” п. 6 ч. 1 ст. 81 ТК РФ.

Учтите только, что нельзя уволить по этому основанию беременную женщину, работника, который находится в отпуске или на больничном, а также несовершеннолетнего, если нет на это согласия трудинспекции и комиссии по делам несовершеннолетних и защите их прав (пп. “в” п. 6 ч. 1, ч. 6 ст. 81, ч. 1 ст. 261, ст. 269 ТК РФ).

Чтобы привлечь работника к дисциплинарной ответственности, в том числе в виде увольнения, вам потребуется соблюсти специальный порядок, в частности: затребовать у него письменное объяснение, составить акт, если работник не представит его по истечении двух рабочих дней, оформить приказ о наложении дисциплинарного взыскания и ознакомить с ним работника (ч. 1, 2 ст. 192, ч. 1, 6 ст. 193 ТК РФ).

3.2.2. Материальная ответственность работника

Вы можете привлечь работника, ответственного за обработку персональных данных, в том числе за их неразглашение, если он нарушил свои обязанности и причинил вам тем самым ущерб (ст. 90, ч. 1 ст. 238 ТК РФ). То есть если вам пришлось возмещать материальный ущерб и (или) моральный вред пострадавшим по его вине работникам или третьим лицам.

Взыскать можно только прямой действительный ущерб, в том числе сумму ущерба и (или) морального вреда, выплаченную вами пострадавшим по его вине работникам или третьим лицам (ст. 90, ч. 1 ст. 238 ТК РФ).

Но сначала обязательно проведите проверку для определения размера ущерба и причин его возникновения, истребуйте от работника письменное объяснение, а также учтите другие обязательные требования, предусмотренные ст. ст. 246, 247, 248 ТК РФ.

4. В каких случаях нарушение законодательства о защите персональных данных может повлечь уголовную ответственность

Специальной нормы об ответственности за нарушение Закона о персональных данных в Уголовном кодексе РФ нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексомРФ.

В частности, уголовная ответственность установлена:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ);
  • неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).

Учтите, что к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).

Материал подготовлен специалистами компании «КонсультантПлюс».

Источник: https://cons59.ru/pravovaya-podderzhka/novosti-zakonodatelstva/kto-i-kakuyu-otvetstvennost-neset-za-narushenie-zakonodatelstva-o-personalnyix-dannyix

Новые штрафы за нарушение закона о персональных данных: что делать бизнесу? — Финансы на vc.ru

Ответственность за утечку персональных данных

В РФ сохраняется тренд на повышенное внимание государства к соблюдению законодательства о защите персональных данных. Глава комитета Госдумы по бюджету и налогам Андрей Макаров предлагал закрепить в Конституции норму о кибербезопасности личности.

Хотя президент Владимир Путин поддержал это предложение, на 5 марта в текст закона о поправках в Конституцию, подготовленного ко второму чтению, оно не вошло. Но и без этой поправки нарушение закона № 152-ФЗ «О персональных данных» наказывается чрезвычайно строго.

Если несколько лет назад максимальный штраф за нарушение данного закона составлял 10 тыс. рублей, то на сегодня максимальный штраф может достигнуть 18 млн рублей.

“Крутые виражи» в регулировании защиты персональных данных”

Локализация персональных данных. В 2015 году вступили в силу требования по локализации персональных данных.

Операторы, получающие информацию о пользователях сети, были обязаны систематизировать и хранить эти данных в базах данных, располагающихся на территории Российской Федерации (за исключением предусмотренных законом случаев).

Появился и пример приостановки деятельности крупного международного ресурса в России в связи с невыполнением требования по локализации − Linkedin.

Ужесточение ответственности за нарушение закона. В 2017 году вступила в силу новая редакция профильной статьи Кодекса об административных правонарушениях. Вместо существовавшего ранее абстрактного состава правонарушения с санкцией 10 тыс.

рублей была введена система мультиплицирования штрафов по различным составам административных нарушений в сфере обработки персональных данных. Штрафы по отдельным составам теперь могли достигать 50 − 75 тыс.

рублей, а Роскомнадзор получил полномочия самостоятельно возбуждать производство по административным нарушениям.

Размер штрафа за отказ предоставить Роскомнадзору информацию о выполнении требования по локализации данных остался 3 тыс. рублей, но ведомство могло потребовать блокировки ресурса в России.

Штраф до 18 млн рублей за отказ локализовать базы данных. В 2019 году была резко усилена ответственность за нарушение требования о локализации персональных данных. В итоговой версии закона, подписанном Президентом РФ Владимиром Путиным 2 декабря 2019 г.

, размер административного штрафа для граждан установлен в размере от 30 до 50 тыс. рублей; для должностных лиц − от 100 до 200 тыс. рублей; для юридических лиц − от 1 до 6 млн рублей. Повторное нарушение влечет за собой штрафы: для граждан в размере от 50 до 100 тыс. рублей; для должностных лиц − от 500 до 800 тыс.

рублей; для юридических лиц − от 6 до 18 млн рублей.

В пояснительной записке к закону необходимость усиления ответственности за локализацию данных была названа «приоритетом обеспечения информационной безопасности». В обоснование размера штрафов приводился зарубежный опыт: Германии, где штрафы за подобные нарушения установлены в размере 500 тыс. евро, Франции − штраф 30 тыс. евро, Великобритании − штраф 50 тыс. фунтов стерлингов.

Правоприменительная практика не заставила себя ждать. Уже в феврале 2020 года суд наложил штраф в размере 4 млн рублей на компанию , такой же размер штрафа был наложен и на компанию .

Объявления на vc.ru Отключить рекламу Прежде всего, необходимо осознать факт − эра расслабленного отношения к вопросам обработки персональных данных завершилась. Компаниям необходимо обеспечивать соответствие своих бизнес-процессов требованиям закона. Роскомнадзор регулярно проводит проверки компаний на предмет соблюдения требований закона о персональных данных.

Руководству компании важно четко понимать:

– какие конкретно данные компания собирает,

– от какой категории субъектов,

– как регламентирует сбор данных.

Цели сбора персональных данных должны быть совместимы с существующей в компании моделью обработки таких данных. Например, если происходит маркетинговая рассылка, необходимо проанализировать, на каком правовом основании она происходит, и выражал ли адресат согласие на ее получение.

Один из приоритетных моментов: каким образом компания получает согласие гражданина на обработку персональных данных; содержит ли такое согласие достаточный набор сведений; и не носит ли оно избыточный характер. Ювелирная выверка политики обработки персональных данных спасет компанию от штрафов.

Ссылка на документ, в котором описываются все моменты работы с персональными данными, должен обязательно присутствовать на каждом сайте компании. Отсутствие такой ссылки – отдельное правонарушение.

Если российский офис компании передает персональные данные за рубеж (например, сообщает их материнской компании) – должны быть соблюдены требования к трансграничной передаче данных.

Следует также не забыть про разработку эффективного механизма реагирования на запросы субъектов персональных данных. Невнимательность к требованию, например, удалить персональные данные человека чревата неприятностями.

Исключение несанкционированного доступа к базам персональных данных − особая тема. Обеспечить его нередко не удается даже самым крупным компаниям. К этой проблеме рекомендуется подойти с максимальной серьезностью и максимально возможным уровнем бюрократического формализма.

При утечке персональных данных первым делом проверяют наличествующую документацию − инструкции, сертификаты, допуски, росписи сотрудников в журнале. Документарно подтвержденное соблюдение закона о персональных данных может служить залогом минимизации рисков в этой сфере.

Кто отвечает за персональные данные

Нередко сбои в защите персональных данных возникают потому, что никто в компании персонально не отвечает за данный вопрос. Не у всех есть ресурсы, чтобы ввести в штатное расписание позицию сотрудника, уполномоченного для работы с персональными данными, и его специальную подготовку.

В этом случае имеет смысл провести обучение всех сотрудников компании принципам работы с персональными данными, и в дальнейшем регулярно напоминать об этом с помощью лекций, семинаров и другими способами.

На проверяющих может произвести приятное впечатление стенд наглядной агитации с призывом соблюдать конфиденциальность персональных данных.

Оценка возможных потерь в случае проверки со стороны контролирующего органа и обнаружения нарушений в работе с персональными данными может помочь принять правильное решение о формализации работы в этой сфере.

Например, можно осуществить регулярные тренинги сотрудников для цели повышения компетенции в работе с персональными данными, что будет направлено на снижение рисков нарушения законодательства.

Более надежно регулярное проведение аудита работы с персональными данными сторонней компанией, специализирующейся на защите данных.

В договор с компаний, обслуживающей базы данных, полезно включить отдельный пункт о хранении баз персональных данных на территории РФ. Проверить, где оператор хранит данные, неспециалисту и без должного уровня доступа практически невозможно. Пункт в договоре о хранении данных в РФ может минимизировать риски.

Адаптирование деятельности компании в части её соответствия законодательству о персональных данных приходится проводить индивидуально для каждой компании в зависимости от принятых в компании бизнес-процессов.

При этом у компаний из близких сфер бизнеса основные методы защиты данных зачастую близки по содержанию.

Учет имеющихся бизнес-кейсов и привлечение квалифицированных юридических консультантов в данной сфере позволить сэкономить деньги и минимизирует риски штрафов.

Горячев И.С., Старший юрист ООО «Юридическая фирма Городисский и Партнеры»

Источник: https://vc.ru/finance/111938-novye-shtrafy-za-narushenie-zakona-o-personalnyh-dannyh-chto-delat-biznesu

Персональные данные призвали к порядку

Ответственность за утечку персональных данных

Максимальные штрафы за утечку персональных данных в новой редакции Кодекса об административных правонарушениях (КоАП) предлагается увеличить с 50 тыс. до 500 тыс. руб.

Это негуманная мера, которая в период пандемии может стать слишком чувствительной для малого бизнеса, предупреждает часть экспертов.

С другой стороны, такие данные — слишком ликвидный товар на черном рынке, так что для реальной борьбы с утечками штрафы должны быть еще выше, уверены другие.

Штрафы за утечку персональных данных могут вырасти с 50 тыс. до 500 тыс. руб.

для юридических лиц, следует из проекта новой редакции КоАП, который был разработан Минюстом России и 29 мая был выложен на обсуждение на regulation.gov.ru. Для индивидуальных предпринимателей штрафы вырастут с 20 тыс.

до 300 тыс. руб., должностных лиц — с 10 тыс. до 100 тыс. руб., остальных граждан — с 2 тыс. до 20 тыс. руб.

Минюст давно прорабатывает новую версию КоАП, ее прежний вариант был опубликован в январе и не содержал нормы об увеличении штрафов. Но вопрос об ужесточении ответственности за утечки поднимался не раз.

Еще в 2015 году Госдума рассматривала повышение штрафов до 300 тыс. руб.

Сейчас поправки об увеличении штрафов разрабатывает также комитет Госдумы по информационной политике, информационным технологиям и связи, говорил 21 мая 2020 года его глава Александр Хинштейн.

Проект Минюста после общественного обсуждения и межведомственного согласования будет внесен в правительство, сообщили в пресс-службе министерства.

Там уточнили, что состав правонарушения, предусматривающий новые штрафы, прорабатывался рабочей группой по предложению комитета Совета федерации по конституционному законодательству и государственному строительству.

Утечки данных случаются все чаще. По данным InfoWatch, в 2019 году их количество в России выросло на 40% по сравнению с предыдущим годом.

Ситуация ухудшается на фоне самоизоляции из-за коронавируса: в результате массового перехода на удаленную работу число попыток неправомерного доступа к данным увеличилось примерно наполовину, причем около 30% инцидентов составляют явно противоправные попытки скопировать клиентские базы данных и передать их вовне, в том числе через мессенджеры, а 10% — действия хакеров, отмечает основатель и технический директор DeviceLock Ашот Оганесян.

Но появление настолько крупного штрафа без предварительной разработки подробного регулирования в сфере обеспечения конфиденциальности, а также без переходного периода, в течение которого операторы персональных данных могли бы привести обработку в соответствие с новыми требованиями, вызывает вопросы, меру можно назвать преждевременной и негуманной в контексте общей экономической ситуации, полагает директор Deloitte Legal в СНГ Екатерина Портман.

Беспокоиться совершенно не о чем: ничего никуда не уходит, все отрабатывается в соответствии с законом на защищенных серверах в нашем центре обработки данных в Москве

Штраф в размере 500 тыс. руб. значителен только для малого бизнеса, для крупных же организаций он будет не более чем «небольшой неприятностью», их больше заботит потеря репутации вследствие правонарушения, отмечает директор юридического департамента МКБ Ирина Гудкова.

Стоимость баз данных при их продаже в даркнете значительно выше предлагаемых штрафов, следовательно, эта мера не будет сдерживать злоумышленников от слива баз данных на продажу, уверен председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. Например, стоимость баз данных розничных банков в даркнете в 2019 году составляла от 70 руб. за одну запись при размере базы до 150 тыс. записей, то есть до 10,5 млн руб. при указанных объемах, уточняют в DeviceLock. В Европе штрафы за утечку данных составляют до 4% оборота компании, на практике они достигают €21 млн и выше, отмечает господин Журавлев. В России их лучше сделать сопоставимыми с существующими штрафами за нарушение хранения баз данных вне территории РФ, то есть от 6 млн до 18 млн руб., считает руководитель направления «Информационная безопасность» IT-компании КРОК Андрей Заикин.

В компаниях, оперирующих большими объемами персональных данных, не рады увеличению штрафов, но настаивают, что и так обеспечивают высокий уровень безопасности.

Действующее законодательство в области персональных данных уже предусматривает строгие требования к их защите, указывают в МТС, подчеркивая, что безопасность данных — безусловный приоритет для компании.

«Ростелеком» при защите персональных данных абонентов и сотрудников стремится к выполнению всех требований законодательства и органов власти, заявили в его пресс-службе.

Tele2 принимает все меры по защите данных абонентов, доступ к ним есть у ограниченного числа сотрудников, работа которых регламентирована и подвергается строгому контролю, отметили в операторе. Неофициально в одном из операторов связи отметили, что считают нецелесообразным вводить в КоАП новые составы нарушений в области защиты персональных данных и повышать размеры штрафов.

Юлия Степанова

Чем грозит компаниям массовый перевод сотрудников на удаленную работу

Читать далее

Источник: https://www.kommersant.ru/doc/4365549

152 ФЗ – штрафы за нарушение закона О персональных данных

Ответственность за утечку персональных данных

Штрафы за нарушение закона 152 ФЗ «О персональных данных» года существенно увеличены. С 1 июля вступила в законную силу новая редакция Закона. Самый высокий штраф – до 75 тыс. руб. установлен для юридических лиц. В новой редакции статьи 13.11 четко установлены случаи, за которые может быть наложен штраф.

Ваша компания попадает под действие Закона 152 ФЗ и сайт считается оператором по обработке персональных данных если на нем есть: 

Обратная связь

  • форма обратной связи
  • заказ обратного звонка
  • форма любой заявки

Продажи

Пользователи

  • Регистрация
  • Авторизация
  • Социальные сети

Email маркетинг

  • Подписка на новости
  • Авторизация
  • Социальные сети

Уголовная ответственность

Уголовный кодекс предостерегает от незаконного сбора или распространения сведений о частной жизни, составляющих личную или семейную тайну человека, без его согласия. Наказанием может стать штраф до 300 000 руб. и выше, принудительные работы, а также лишение свободы на срок до 4 лет.

Административная ответственность

Кодекс об административных правонарушениях даёт возможность оштрафовать физическое или должностное лицо, индивидуального предпринимателя или компанию за невыполнение 152-ФЗ на 10 000 руб. Штраф может быть наложен не только на компанию, но и на работника: руководителя или ответственного за организацию обработки персональных данных.

Также компания может быть оштрафована на сумму до 20 000 руб., если не выполнит в срок предписание Роскомнадзора или не ответит на его запрос.

Нарушения трудового законодательства, в том числе главы 14 Трудового кодекса, наказываются штрафом до 50 000 руб. Для компании может стать неприятной новостью, что не только Роскомнадзор, но и Трудовая инспекция интересуется тем, как она осуществляет обработку персональных данных.

Гражданско-правовая ответственность

Закон «О персональных данных» даёт физическим лицам право на возмещение морального и имущественного вреда, а также понесённых убытков. Размер возмещения будет определяться судом, и заранее он ничем не ограничен.

Подготовим Соглашение о защите персональных данных

Для наших клиентов мы предлагаем услугу подготовки текста Соглашения о конфиденциальности и Положения по обработке персональных данных. Эти документы проходят проверку юристом и соответствуют всем требованиям Закона 152 ФЗ. Вы можете обратиться в веб студию АВАНЗЕТ за подготовкой этих документов.

После этого необходима настройка всех форм обратной связи таким образом, чтобы пользователь, который отправляет письмо с любой формы на вашем сайте сначала познакомился с этими документами и поставил галочку в чек боксе, что он с ними знаком и только после этого он получит возможность отправить вам сообщение.

Мы уверены, что  большинство наших клиентов – законопослушные люди, и поэтому мы хотим существенно облегчить соблюдение этого закона, чтобы помочь избежать штрафов. Напишите нам письмо и мы подготовим все необходимые документы и произведем нужные настройки на вашем сайте

Размер штрафов за нарушение закона «О персональных данных»

Согласно новой редакции ст.13.11 КоАП РФ, нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

  • Частное лицо может получить предупреждение или штраф в размере от 1 тыс. до 3 тыс. руб.
  • Должностное лицо заплатит от 5 тыс. до 10 тыс. руб.,
  • Юридическое лицо – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без согласия гражданина приведет к наложению штрафа:

  • в размере от 3 тыс. до 5 тыс. руб. для граждан,
  • от 10 тыс. до 20 тыс. руб. – для должностных лиц
  • от 15 тыс. до 75 тыс. руб. для юридических лиц.

В случае если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф.

  • Для граждан он составит от 700 до 1500 руб.,
  • для должностных лиц – от 3 тыс. до 6 тыс. руб.,
  • для индивидуальных предпринимателей (ИП) – от 5 тыс. до 10 тыс. руб.,
  • для юридических лиц – от 15 тыс. до 30 тыс. руб.

Самый лучший способ оградить себя и свою компанию от наложения штрафа и других видов ответственности — выполнить требования Закона 152 ФЗ «О персональных данных»! Заходите на сайт нашего партнера, регистрируйтесь и для вас будет подготовлен пакет документов, который необходим для выполнения всех требований Закона 152 ФЗ

Как не нарушить закон о персональных данных

Если на вашем сайте присутствует форма регистрации, то вам нужно уведомить Роскомнадзор и опубликовать политику конфиденциальности (политику защиты персональных данных). Без них вы будете нарушителем закона.

С 1 июля вступили в законную силу правки к п. 13.11 КоАП о нарушении в обработке персональных данными. За эти нарушения: сбор, хранение или обработка вы можете получить штраф до 75 000 руб. Роскомнадзор составил план для проверки компаний. Но не паникуйте: срочно идти к юристу не обязательно, всё не так страшно. Так что же нужно сделать?

Кого в первую очередь касается этот закон? 

Закон о персональных данных касается операторов персональных данных: физических лиц и организации, которые собирают, хранят и обрабатывают персональные данные.

Оператором персональных данных может стать кто угодно. Даже если у вас личный сайт с формой регистрации, вам всё равно могут выписать штраф. Правда штрафы частным лицам не велики, компаниям значительно выше.

В законе нет четкого списка, что считать персональными данными. Правило такое: если по данным, что вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные. Например, если у вас есть имя, фамилия и электронная почта клиента, теоретически вы сможете найти его через поиск в Гугле.

Что относится к персональным данным:

  • ФИО (фамилия, имя, отчество)
  • домашний адрес
  • личный телефон
  • ваша электронная почта
  • дата и место рождения
  • ссылка на профиль в соцсети
  • ваша профессия

Что же делать, без оформления документов никак? Конечно лучше обезопасить себя и оформить документы, тем более за это не нужно платить. Иначе есть только два варианта:

  • убрать с сайта все формы регистрации, которые запрашивают данные посетителей;
  • вместо классической формы регистрации поставить одно поле «Контактные данные» и надеяться, что Роскомнадзор не сможет понять, относятся эти данные к персональным или нет.

Один посетитель сайта напишет свое ФИО, другой — укажет телефон, третий — может обругать матом 🙂 Для вашего спокойствия лучше играть в эти игры с Роскомнадзором, рекомендуем сделать всё по установленным правилам.

Как правильно уведомить Роскомнадзор?

Уведомления следует подавать до момента начала обработки данных. Иначе, если форма регистрации или подписки на вашем сайте есть, но вы не уведомили об этом Роскомнадзор, то вы уже являетесь нарушителем закона. Но если отправите уведомление сейчас, то Роскомнадзор не будет штрафовать за прошлые месяцы или годы нарушения.

Заполнить и отправить уведомление можно на сайте Роскомнадзора. Для этого придется заполнить форму с 57 полями. Сначала ее надо отправить в электронном виде, потом — по почте и ждать ответа Роскомнадзора. Вот ссылка на форму регистрации оператора персональных данных на сайте Роскомнадзора

Но есть путь легче — это можно сделать через сервис Контура. Мы рекомендуем сделать это один рази больше не волноваться что вы не выполняете требования закона о защите персональных данных. Надеемся, что наша публикация была вам полена

В 2020 году власти в 10 раз увеличат штрафы за утечки персональных данных

По информации cnews.ru Минюст России работает над новым КоАП, в котором предусмотрено увеличение штрафов за утечку персональных данных в десять раз. Эксперты считают, что это может не сработать, поскольку стоимость украденных данных может многократно превышать размеры максимального штрафа.

До 500 тыс. руб. за одну утечку

Министерство юстиции России предложило значительно увеличить штрафы за утечку персональных данных. Реализовать это предложено путем внесения поправок в Кодекс об административных правонарушениях (КоАП).

Штрафы за утечку персональных данных в новой версии КоАП Минюст предлагает увеличить в ряде случаев более чем в десять раз.

В случае принятия поправок изменения коснутся как юрлиц, так и должностных лиц, а также индивидуальных предпринимателей (ИП) вместе с физлицами.

  • Для физических лиц размер штрафа, в настоящее время составляющий 2000 руб., предложено увеличить до 20 тыс. руб.
  • Должные лица будут платить за утечку не нынешние 10 тыс. руб., а до 100 тыс. руб. а ИП – до 300 тыс. руб. вместо 20 тыс. руб.
  • Максимальный размер штрафа предусмотрен для юридических лиц – в настоящее время он равен 50 тыс. руб., но Минюст предлагает увеличить его до 500 тыс. руб.

В проекте КоАП сказано, что изменения будут внесены в часть 6 статьи 33.1 (Невыполнение обязанности по соблюдению конфиденциальности персональных данных). Действующие до вступления в силу новой версии Кодекса штрафы предусмотрены в части 6 статьи 13.11 КоАП.

Утечка персональных данных обойдется компаниям в полмиллиона рублей

Ведомство опубликовало проект нового КоАП на федеральном портале проектов нормативных правовых актов 29 мая 2020 г. Номер проекта – 02/04/05-20/00102447, и на момент публикации материала он находился на этапе публичного обсуждения, дата завершения которого – 24 июня 2020 г.

Источник: https://a1z.ru/news/510-152-fz-shtrafy-za-narushenie-zakona-o-personalnykh-dannykh.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.