sysadmin-pro.ru
Быть оператором персональных данных не просто. Дело не в сложности и запутанности законодательных актов, регламентирующих права и обязанности субъектов и операторов персональных данных, а в том, что все же данная область контролируема и все же нарушения требований законодательства наказуемы, что доказывается судебной практикой, проанализированной нашими специалистами за последние несколько лет.
В судебной практике по Южному федеральному округу за 1 квартал 2020 года Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций были выявлены нарушения в части обработки и защиты персональных данных.
Согласно обращениям граждан, были выявлены нарушения норм и требований Федерального закона «О персональных данных» 27.07.2006 № 152-ФЗ. Результаты рассмотрения дел таких нарушений представлены в таблице ниже.
Нарушение законодательства | Факт нарушения | Результат рассмотрения дела |
|---|---|---|
Часть 1 статья 6 152-ФЗ | Нарушение выявлено в обработке должностным лицом избыточных персональных данных гражданина при предоставлении ему соответствующей услуги, а именно обработке таких данных о гражданине, как номер банковской карты, логин и пароль от личного кабинета гражданина сайта государственных услуг. | По результатам рассмотрения обращения в отношении должностного лица государственного учреждения составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ |
Выявлено нарушение в обработке персональных данных гражданина несовместимой с целями сбора персональных данных. А именно, на гражданина без его согласия и волеизъявления была выпущена банковская карта. С целью дальнейшей работы с данной картой с гражданином Банк начал взаимодействовать путем осуществления выездов по месту его жительства и размещения листовок, содержащих персональные данные гражданина под входной дверью квартиры. Согласие на использование персональных данных с целью выпуска банковской карты, а также взаимодействия с целью обслуживания данной карты, гражданин Банку не давал. | По результатам рассмотрения обращения отношении Банка составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ. Протокол со всеми материалами был направлен в мировой суд для рассмотрения | |
Статья 7 152-ФЗ | Нарушение выразилось в том, что на электронную почту гражданина поступило письмо от государственного органа, адресованное другому гражданину. В данном письме указывались персональные данные, позволяющие идентифицировать иного гражданина, а именно, ФИО, адрес проживания, адрес электронной почты. | При рассмотрении обращения факт нарушения ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” был подтвержден. С целью соблюдения законодательства в области персональных данных в отношении граждан в адрес государственного органа направлено письмо-требование о недопущении в дальнейшей деятельности аналогичных нарушений. |
Нарушение выразилось в том, что персональные данные гражданина размещены на сайте администрации, в объеме – фамилия, имя, отчество, год рождения, паспортные данные и место жительства. После получения запроса, администрация самостоятельно удалила персональные данные гражданина с сайта. | Однако в целях пресечения возможных нарушений законодательства в области персональных данных в отношении других граждан в адрес администрации направлено письмо о недопущении в дальнейшей деятельности администрации нарушений конфиденциальности в отношении персональных данных субъектов персональных данных. | |
Нарушение выразилось в том, что на сайте образовательного учреждения размещены договоры пожертвования, содержащие персональные данные (фамилия, имя, отчество, год рождения, адрес регистрации, паспортные данные) гражданина. Согласие на размещение своих персональных данных гражданин образовательному учреждению не давал. В ответ на запрос образовательное учреждение правовых оснований размещения на сайте персональных данных заявителя не предоставило. | Руководствуясь ч. 3 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» после выявления незаконно размещенных персональных данных заявителя (после получения запроса Управления), в течение трех дней образовательное учреждение удалило размещенные персональные данные. | |
Статья 10 152-ФЗ | Было установлено, что банк обрабатывает персональные данные близких родственников работников в объеме ФИО, степень родства, год рождения, национальность. Согласно ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», национальность является специальной категорией персональных данных. Обработка специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных. В деятельности банка было выявлено нарушение ч. 1 ст. 10 Закона о персональных данных, ответственность по которой предусмотрена ч. 2 ст. 13.11 КоАП РФ. | Учитывая, что срок давности привлечения к административной ответственности по ч. 2 ст. 13.11 КоАП РФ, установленный ст. 4.5 КоАП РФ, истек, банк к административной ответственности не привлекался |
Правонарушения согласно статье 13.12 КоАП РФ
В части несоблюдения правил защиты информации согласно статье 13.12 КоАП РФ выделяют правонарушения и ответственность за их невыполнение, представленные в таблице ниже:
Часть статьи | Правонарушение | Ответственность |
|---|---|---|
Часть 1 | Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) | Влечет наложение административного штрафа:
|
Часть 2 | Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну) | Влечет наложение административного штрафа:
|
Часть 3 | Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну | Влечет наложение административного штрафа:
|
Часть 4 | Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну | Влечет наложение административного штрафа:
|
Часть 5 | Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) | Влечет наложение административного штрафа:
|
Часть 6 | Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи | Влечет наложение административного штрафа:
|
Часть 7 | Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния | Влечет наложение административного штрафа:
|
Правонарушения выявленные в части средств криптографической защиты информации
В части применения средств криптографической защиты информации или неприменения таковых при обработке персональных данных были выявлены следующие нарушения:
- программное обеспечение «КриптоПро», установленное на ПЭВМ, имеет просроченный сертификат ФСБ России, а антивирусное средство не входит в список средств защиты и информации, разрешенных ФСБ России (в г. Казань, 2018 г. ООО «Охранное агентство» было признано виновным в совершении административного правонарушения, предусмотренного ч.2 ст.13.12 КоАП РФ, и ему назначено наказание в виде административного штрафа);
- обмен персональными данными при их обработке в информационной системе осуществлялся без применения средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации, и согласно 13.12 КоАП РФ было назначено административное наказание в виде административного штрафа;
- предоставление услуг по составлению и предоставлению в налоговые и иные государственные органы деклараций по налогам и сборам с использованием системы электронного документооборота «СБиС++» и средства криптографической защиты информации «КриптоПро CSP» (версия 3.6) без лицензии (в г. Йошкар-Ола, 2016 г. директор ООО «<…>» привлечена к административной ответственности по ч. 1 статьи 13.13 КоАП РФ, ей назначено административное наказание в виде штрафа в размере 2000 рублей).
Судебные прецеденты
Управление Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу – Югре и Ямало-Ненецкому автономному округу провело плановую выездную проверку в отношении Муниципального бюджетного учреждения дополнительного образования «Детско-юношеская спортивная школа «Олимпиец» муниципального образования город Ноябрьск на предмет соответствия обработки персональных данных требованиям законодательства РФ.
При проведении плановой проверки были выявлены следующие нарушения обязательных требований в области обработки персональных данных:
- ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» – непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных;
- ч. 3 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» – представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;
- ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» – обработка персональных данных в случаях, не предусмотренных федеральным законом «О персональных данных»;
- ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» – нарушение требований конфиденциальности при обработке персональных данных;
- ч. 5 ст. 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» – обработка избыточных персональных данных по отношению к заявленным целям их обработки.
По результатам проверки МБУ ДО «ДЮСШ «Олимпиец» выдано предписание. Также для решения вопроса о возбуждении в отношении оператора дела об административном правонарушении, предусмотренного ст. 13.11 КоАП РФ, материалы направлены в прокуратуру г. Ноябрьска.
В г. Владикавказе в 2017 г. директор филиала УФПС – должностное лицо, был признан виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ с назначением административного наказания в виде штрафа. Нарушение – не проведены аттестационные испытания государственной информационной системы на соответствие требованиям безопасности информации.
Были выявлены нарушения в части предоставления уведомления об обработке. Администрация представила уведомление об обработке персональных, на основании которого была внесена в реестр операторов. Дополнительно от Администрации поступили информационные письма о внесении изменений в реестр операторов. Анализ содержания информации на предмет соответствия фактической деятельности Администрации показал ряд несоответствий, а именно: не указаны в полном объеме: цели обработки персональных данных, категории персональных данных, категории субъектов персональных данных, правовые основания обработки персональных данных, действия с персональными данными, способы обработки персональных данных, меры, предусмотренные статьями 18.1 и 19 Федерального закона. Также указана недостоверная информация о назначении ответственного за организацию обработки персональных данных и дата начала обработки персональных данных.
В отношении администрации составлен протокол об административном правонарушении по ст. 19.7 КоАП РФ.
Управлением Роскомнадзора по Республике Башкортостан в ходе мероприятий систематического наблюдения в деятельности администратора сайта liza-baby.ru выявлено нарушение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части неопубликования документа, определяющего политику в отношении обработки персональных данных.
В целях принятия мер прокурорского реагирования материалы были направлены в органы прокуратуры по территориальной подведомственности.
По результатам проверки, проведенной прокуратурой Октябрьского района г. Уфы, факт нарушения законодательства подтвердился.
Прокуратурой района в адрес администратора сайта подготовлено представление об устранении нарушений и постановление о возбуждении дела по ст. 13.11 КоАП РФ в отношении должностного лица, ответственного за обработку персональных данных.
Ниже в таблице 3 представлены последствия за нарушение законодательных норм.
НПА | Нарушение | Последствия |
|---|---|---|
Статья 5.39 КоАП РФ | Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации | Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб |
Часть 1 ст. 13.11 КоАП РФ | Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных | Предупреждение или административный штраф:
|
Часть 2 ст. 13.11 КоАП РФ | Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие | Административный штраф:
|
Часть 3 ст. 13.11 КоАП РФ | Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных | Предупреждение или административный штраф:
|
Часть 5 ст. 13.11 КоАП РФ | Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки) | Предупреждение или административный штраф:
|
Часть 6 ст. 13.11 КоАП РФ | Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них | Административный штраф:
|
Часть 7 ст. 13.11 КоАП РФ | Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов | Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб. |
Статья 19.7 КоАП РФ | Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде | Административный штраф:
|
Статья 140 УК РФ | Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан | Штраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет |
Статья 272 УК РФ | Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование | Штраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок |
Статья 24 152 ФЗ, ст. 151 ГК РФ | Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных | Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков) |
Подпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса | Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей | Увольнение |
Статья 90, ст. 192 ТК РФ | Иные нарушения в области персональных данных при их обработке | Замечание или выговор |
Таким образом, несоблюдение требований законодательства в области обработки и защиты персональных данных может грозить серьезными последствиями не только оператору персональных данных, но и должностным лицам, обеспечивающих обработку и безопасность таких данных. Несмотря на незначительные штрафы в случаях нарушений законодательных норм неоднократное повторение правонарушений может привести к исключению оператора ПДн из реестра операторов ПДн, а также к прекращению деятельности Оператора в целом.
Для недопущения подобных ситуаций рекомендуется проводить периодический внутренний и внешний аудит по защите персональных данных. В случае, если результаты аудита покажут нарушения законодательства Российской Федерации в области защиты конфиденциальной информации, в том числе персональных данных, то рекомендуется в кротчайшие сроки все несоответствия и нарушения устранить. Все эти работы могут быть переданы нашим сотрудникам , которые оперативно проведут аудит и помогут Вам привести в порядок режим обработки персональных данных.
Актуально? Мы готовы провести аудит и оперативно приведём к требованиям режим обработки персональных данных на вашем предприятии. |
Заказать услугу |
Читайте также:
