Над статьей работали:
Автор: Коротаева Юлия
Первого июля 2017 года вступает в силу новая редакция ст. 13.11 КоАП РФ. Она предусматривает штрафы за нарушение Закона о персональных данных. Только теперь вместо одного состава нарушения с максимальным штрафом на организацию 10 тыс. рублей эта статья содержит семь составов нарушений с максимальным штрафом 75 тыс. рублей. Поэтому стоит понять, какие нарушения под какие части обновленной статьи подпадают. Узнать это поможет данная Актуальная тема. Она создана на основе анализа более 100 судебных решений по ст. 13.11 КоАП РФ, часть которых представлена в качестве примеров нарушений по новым частям этой статьи.
Часть 1 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за:
1) обработку персональных данных в случаях, не предусмотренных законодательством;
2) обработку, несовместимую с целями их сбора.
Санкции: предупреждение или штраф:
- на граждан – от 1 до 3 тыс. рублей;
- на должностных лиц – от 5 до 10 тыс. рублей;
- на юридических лиц – от 30 до 50 тыс. рублей
1. К обработке персональных данных в случаях, не предусмотренных законодательством, относятся, например, следующие ситуации.
1.1. Требование об указании сведений о родственниках в заявлении на получение кредита
Банк включил в заявление-анкету на предоставление кредита графы для указания персональных данных родственников: родителей, мужа/жены и совершеннолетних детей. С точки зрения банка он имеет право запрашивать у заемщика эти сведения, так как кредитные обязательства родственников могут повлиять на расчет кредита для него.
Однако это нарушает Закон № 152-ФЗ.
Родственники заемщика ни клиентами, ни заемщиками банка не являются, и кредитный договор с ними не заключается. Согласия на передачу и обработку своих персональных данных они банку также не давали. Поэтому возложение банком на заемщика обязанности указать информацию о них в заявлении-анкете является прямым нарушением ст. 6 Закона № 152-ФЗ, – решили Роскомнадзор и судьи (Постановление Арбитражного суда Уральского округа от 22.12.2016 № Ф09-10782/16, Постановление Самарского областного суда от 08.08.2016 № 4а-847/2016).
1.2. Предоставление персональных сведений о гражданах по адвокатскому запросу
Адвокат обратился в отдел УФМС с адвокатским запросом о выдаче адресной справки на гражданина для предоставления мировому судье. Чиновники отказали в этом, сославшись на Закон «О персональных данных».
Адвокат пожаловался на них в суд, но судьи решили, что миграционная служба была права, поскольку предоставление информации о персональных данных субъекта по адвокатскому запросу федеральным законодательством не предусмотрено.
Закрепленное же в Законе об адвокатуре право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию, не распространяются на установленные законом конфиденциальные сведения (Определение Верховного Суда РФ от 12.05.2010 № 49-В10-5).
2. К обработке персданных, несовместимой с целями их сбора, относятся, например, следующие ситуации.
2.1. Использование телефонного номера для рассылки рекламных сообщений
Гражданин при оформлении кредита в банке подписал согласие на обработку своих персональных данных. В числе этих данных был указан номер мобильного телефона. Банк стал присылать на этот номер сообщения рекламного характера. В них говорилось о предварительном одобрении кредита на определенную сумму по определенной ставке и предлагалось получить его в отделении.
Прокуратура и суд признали данную рассылку обработкой персональных данных, несовместимой с целями сбора этих данных. Гражданин предоставил их банку в целях оформления кредита, а не для получения на свой номер телефона рекламных рассылок. Направление данных СМС-сообщений с предложением взять у банка кредит не имеет отношения к ранее заключенному кредитному договору с банком. Следовательно, направление банком этих сообщений являлось незаконным (Апелляционное определение Новосибирского областного суда от 02.04.2015 № 33-2662/2015).
2.2. Использование личных данных гражданина из одного дела для другого дела
Адвокат обратился в районный суд для ознакомлении с материалами гражданского дела о взыскании ущерба от затопления квартиры. Сфотографировал материалы, но полученную информацию, в том числе персональные данные гражданина-истца – паспортные данные, данные о месте работы и занимаемой должности, сведения о личной жизни и состоянии здоровья, – использовал не в интересах коллегии адвокатов, а в личных интересах по уголовному делу частного обвинения.
Суд решил, что адвокат нарушил Закон № 152-ФЗ, так как использовал полученные персданные на в тех целях, в которых он их получил (Постановление Тюменского областного суда от 20.07.2011 № 7-3-307/2011).
Можно привести пример, когда подозреваемое нарушение на самом деле не имеет места: компания хранит персональные данные уволенных сотрудников: Ф.И.О., пол, дату рождения, паспортные данные, адрес регистрации).
Тот факт, что люди уже уволены и не находятся с компанией в каких-либо договорных отношения, не означает, что она не имеет права хранить (то есть обрабатывать) их персональные данные. Ведь в силу ст. 17 Закона об архивном деле организации и ИП обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами и иными нормативными правовыми актами. Поэтому в данной ситуации компания не нарушает Закон о персональных данных (Постановление Ярославского областного суда от 15.02.2013 № 4А-21/2013).
«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)
Документ включен в СПС "КонсультантПлюс"
Часть 2 ст. 13.11 КоАП РФ в новой редакции предусматривает штрафы за обработку персональных данных:
1) без согласия в письменной форме субъекта этих данных на обработку в случаях, когда такое согласие должно быть получено, если эти действия не содержат уголовно наказуемого деяния;
2) обработку с нарушением установленных требований к составу сведений, включаемых в письменное согласие на обработку.
Штраф:
- на граждан – от 3 до 5 тыс. рублей;
- на должностных лиц – от 10 до 20 тыс. рублей;
- на юридических лиц – от 15 до 75 тыс. рублей
К обработке персданных без обязательного согласия относятся, например, следующие ситуации.
1.1. Размещение Ф.И.О. должников по коммуналке в подъезде
Управляющая компания разместила в подъездах домов, на вэб-сайте или в СМИ списки должников по оплате коммунальных услуг с указанием фамилий, инициалов, адресов и сумм задолженности, то есть персональных данных, без согласия указанных субъектов.
Это является нарушением ч. 1 ст. 6 Закона № 152-ФЗ, содержащей условие о необходимости получения согласия субъекта персональных данных на обработку этих данных (постановления Нижегородского областного суда от 12.05.2015 N 4а-288/2015, Белгородского областного суда от 20.11.2013, Свердловского областного суда от 19.08.2010 № 4а-1140/2010, Кемеровского областного суда от 28.07.2015 № 4а-790/2015).
1.2. Размещение Ф.И.О. и адресов проживания граждан в газете
В еженедельной газете опубликованы персональные данные граждан: Ф.И.О. и адреса их проживания, без согласования с самими гражданами.
Действия СМИ квалифицируются по ст. 13.11 КоАП РФ, поскольку п. 5 ч. 1 ст. 49 Закона «О средствах массовой информации» предусмотрен запрет на распространение в средствах массовой информации сведений о личной жизни граждан, если от них самих или от их законных представителей не было получено на то согласие, за исключением случаев, когда это необходимо для защиты общественных интересов (Постановление Пленума Верховного Суда РФ от 15.06.2010 № 16, Постановление Верховного суда Республики Саха (Якутия) от 29.10.2015 № 4а-547/2015).
1.3. Размещение фотографии гражданина на сайте в Интернете
Опубликование на сайте в сети Интернет фото гражданина законно при условии, что при размещении фотографии он выразил согласие на дальнейшее использование данного изображения. Например, путем согласия с условиями пользования сайтом, которыми предусмотрено размещение такого изображения на портале. В противном случае – если такого согласия не было получено, размещение фото в Сети нарушает Закон № 152-ФЗ (Постановление Приморского краевого суда от 08.11.2016 № 4а-969/2016, апелляционные определения Московского городского суда от 20.05.2016 № 33-19604/2016, от 20.10.2015 № 33-35140/2015).
1.4. Установка жильцом дома видеокамеры в подъезде
Двое жильцов самовольно установили на лестничной площадке под потолком камеру видеонаблюдения. В ее объектив попадали вход в подъезд, вся лестничная площадка и входные двери в квартиры с обеих сторон. Свои действия жильцы объяснили тем, что видео позволит зафиксировать возможные противоправные, по их мнению, действия одного из жильцов дома и использовать полученные видеоматериалы в качестве доказательств.
Однако обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных. Поэтому без такого согласия всех жильцов подъезда производится незаконный сбор, хранение и использование информации об их частной жизни. Фактически это является проведением оперативно-разыскных мероприятий, которые входят в компетенцию только правоохранительных органов (апелляционные определения Московского городского суда от 16.11.2012 № 11-23886/12, Ульяновского областного суда от 02.06.2015 № 33-2182/2015, Определение Санкт-Петербургского городского суда от 18.09.2013 № 33-12665/2013).
1.5. Занесение медицинских данных в амбулаторные карты
Медицинская организация обязана сохранять врачебную тайну и должна получать согласие субъекта персональных данных в письменной форме на обработку этих данных.
В частности, в ситуации, когда медучреждение проводит медицинское освидетельствование граждан и заносит полученные данные в медицинские амбулаторные карты и внутреннюю информационную систему учета. Без наличия письменного согласия граждан на обработку персональных данных имеет место нарушение требования ст. 6 Закона № 152-ФЗ (Постановление Самарского областного суда от 08.02.2016 № 4а-131/2016, 4а-1300/2015).
1.6. Отсутствие отдельного поля для подписи под согласием на обработку персданных
Типовая форма договора должна содержать отдельное поле для того, чтобы субъект персональных данных мог конкретно выразить свое согласие либо несогласие на обработку этих данных. Об этом прямо сказано в пп. б п. 7 Постановления Правительства РФ от 15.09.2008 № 687.
Другими словами, если среди условий договора с физлицом содержится условие о согласии последнего на обработку его персональных данных, но при этом в договоре имеется единственное поле для подписи, выражающее согласие со всеми условиями договора, то это является нарушением (постановления ФАС Уральского округа от 16.09.2013 № Ф09-9552/13, Саратовского областного суда от 23.04.2013 № 7-254/13).
Это касается и трудовых отношений: невзирая на текст договора, в личных делах кандидатов должно быть поле, в котором они могут поставить отметку о своем согласии на обработку персональных данных (Постановление Самарского областного суда от 22.08.2016 № 4а-907/2016).
К обработке персданных с нарушением установленных требований к составу сведений, включаемых в письменное согласие на их обработку (список приведен в п. 4 ст. 9 Закона № 152-ФЗ: Ф.И.О., адрес гражданина, паспортные данные, цель обработки персданных и т.д.), относятся, например, следующие ситуации.
2.1. В согласии не указан список возможных действий с персданными
В согласии на обработку персданных, оформленном при заключении кредитного договора, отсутствовали: перечень персональных данных, на обработку которых дается согласие, перечень возможных действий с этими данными и не указан срок, в течение которого такое согласие действует.
В результате банк неправомерно передал данные заемщика по агентскому договору коллекторской организации, от которой гражданину на телефон стали поступать звонки с требованием о погашении задолженности (Постановление Московского городского суда от 20.08.2012 № 4а-1422/12).
«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)
Документ включен в СПС "КонсультантПлюс"
Часть 3 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или к сведениям о реализуемых требованиях к их защите.
Санкции: предупреждение или штраф:
- на граждан – от 700 до 1,5 тыс. рублей;
- на должностных лиц – от 3 до 6 тыс. рублей;
- на индивидуальных предпринимателей – от 5 до 10 тыс. рублей;
- на юридических лиц – от 15 до 30 тыс. рублей
К случаям невыполнения оператором названной обязанности относится, например, следующий.
К форме обратной связи не прикреплена ссылка на политику обработки персональных данных
На сайте организации размещена форма обратной связи, состоящая из трех элементов: «Ваше имя», «Тема сообщения», «Сообщение». Компания заблуждалась, полагая, что эти сведения не подпадают под персональные данные. Подпадают. Поэтому организация должна была опубликовать и обеспечить неограниченный доступ к документу, определяющему политику организации в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных (Постановление Тамбовского областного суда от 04.10.2016 № 4А-288/2016).
«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)
Документ включен в СПС "КонсультантПлюс"
Часть 4 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его данных.
Санкции: предупреждение или штраф:
- на граждан – от 1 до 2 тыс. рублей;
- на должностных лиц – от 4 до 6 тыс. рублей;
- на индивидуальных предпринимателей – от 10 до 5 тыс. рублей;
- на юридических лиц – от 20 до 40 тыс. рублей.
Под данный состав подпадает нарушение ч. 7 ст. 14 Закона № 152-ФЗ, согласно которой субъект персональных данных имеет право на получение следующей информации относительно обработки своих данных:
- подтверждение факта обработки;
- правовые основания и цели обработки;
- сроки обработки и хранения данных;
- цели и применяемые оператором способы обработки;
- наименование и место нахождения оператора;
- лица, которые имеют доступ к данным;
- обрабатываемые персональные данные, источник их получения;
- порядок осуществления гражданином прав, предусмотренных Законом № 152-ФЗ;
- информация о состоявшейся или предполагаемой трансграничной передаче данных;
- наименование или Ф.И.О. и адрес лица, осуществляющего обработку данных по поручению оператора;
- иные сведения, предусмотренные законом или другими федеральными законами.
Практики привлечения к ответственности за данное нарушение в рамках прежней редакции ст. 13.11 КоАП РФ не имеется.
«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)
Документ включен в СПС "КонсультантПлюс"
Часть 5 ст. 13.11 КоАП РФ в новой редакции предусматривает ответственность за невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо уполномоченного органа об уточнении данных, их блокировании или уничтожении, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Санкции: предупреждение или штраф:
- на граждан – от 1 до 2 тыс. рублей;
- на должностных лиц – от 4 до 10 тыс. рублей;
- на индивидуальных предпринимателей, на должностных лиц – от 4 до 6 тыс. рублей;
- на юридических лиц – от 25 до 45 тыс. рублей.
К случаям невыполнения оператором названного требования относится, например, следующий.
Отказ закрыть доступ к интернет-базе с личными данными предпринимателей
В Управление Роскомнадзора поступило обращение индивидуального предпринимателя. Он жаловался на компанию, которая предоставляла любым юридическим и физическим лицам платные услуги по формированию для них выписок из ЕГРЮЛ и ЕГРИП. Выписки содержали персональные данные граждан – индивидуальных предпринимателей: Ф.И.О., дату и место рождения, гражданство, пол, регистрационные данные.
Роскомнадзор счел, что компания фактически является оператором, обрабатывающим персональные данные граждан без их на то согласия, и потребовал прекратить эту деятельность. Суд поддержал чиновников (Апелляционное определение Омского областного суда от 17.09.2014 № 33-5967/2014).
«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)
Документ включен в СПС "КонсультантПлюс"
Часть 6 ст. 13.11 КоАП РФ в новой редакции предусматривает штрафы за невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность данных при хранении материальных носителей таких данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.
Штраф:
- на граждан – от 700 до 2 тыс. рублей;
- на должностных лиц – от 4 до 10 тыс. рублей;
- на индивидуальных предпринимателей – от 10 до 20 тыс. рублей;
- на юридических лиц – от 25 до 50 тыс. рублей
Данный новый состав нарушения ослабил ответственность за несохранность данных. Дело в том, что он предусматривает наложение санкций только в том случае, когда необеспечение сохранности привело к каким-либо негативным последствиям: неправомерному или случайному доступу к персональным данным. В то время как ранее штраф мог налагаться за сам факт необеспечения сохранности. Пример такого случая ниже.
Анкеты с персональными данными хранятся в картонных коробках в шкафу без замка
Коллекторское бюро было уличено в том, что анкеты заемщиков (должников), содержащие персональные данные, и использование которых уже было завершено, в установленном порядке не были уничтожены. При этом они хранились в картонных коробках в шкафу без запирающего устройства.
За отсутствие актов об уничтожении использованных персональных данных и за то, что агентство не обеспечило ограничение доступа третьих лиц к указанным данным, был назначен штраф (Постановление Псковского областного суда от 14.07.2016 N 4А-103/2016).
«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)
Документ включен в СПС "КонсультантПлюс"
Часть 7 ст. 13.11 КоАП РФ в новой редакции предусматривает штрафы за невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию влечет предупреждение или штраф:
Санкции: предупреждение или штраф:
- на должностных лиц – от 3 до 6 тыс. рублей
Практики привлечения к ответственности за данное нарушение в рамках прежней редакции ст. 13.11 КоАП РФ не имеется.
«КОДЕКС Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ
(с изм. и доп., вступ. в силу с 01.07.2017)
Документ включен в СПС "КонсультантПлюс"
Фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим персональным данным.
В соответствии с ч. 1 ст. 11 Закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.
Исключением являются случаи, предусмотренные ч. 2 данной статьи: связанные с осуществлением правосудия и исполнением судебных актов, предусмотренные законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательстве, о порядке выезда из страны и въезда в нее.
В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Закона «О персональных данных» не регулируются. Соответственно, обработка сведений в данных случаях осуществляется согласно общим требованиям, установленным данным законом.
Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность.
РАЗЪЯСНЕНИЯ Роскомнадзора
«О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»
Документ включен в СПС "КонсультантПлюс"
другими словами, если паспорт необходим для оформления пропуска в здание, то он используется для идентификации личности. Значит, в данном случае происходит использование биометрических персональных данных. Следовательно, для этого обязательно получить от гражданина письменное согласие на обработку персональных данных.