Соблюдение законодательства о персональных данных. Что грозит компании за нарушение закона

427
В этой статье:Кто может проверить компанию на предмет соблюдения закона о ПДнЧто проверяют контролеры в ходе выездной проверки компанииКакие меры ответственности возможны за нарушения оператора ПДн

Анализ практики применения Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ) был бы неполным без рассмотрения вопросов об ответственности за нарушение требований этого закона, а также о контроле за его соблюдением. Данная статья поможет разобраться в том, какие органы и в каком порядке могут проверять компанию на предмет выполнения требований законодательства о персональных данных (далее – ПДн), а также какие меры ответственности грозят компании и ее должностным лицам при выявлении нарушений.

Функции контроля – у трех государственных структур

Система органов государственной власти, осуществляющих проверки операторов ПДн, представляет собой «триумвират» из Роскомнадзора, ФСТЭК России и ФСБ России.

Роскомнадзор в соответствии со статьей 23 закона № 152-ФЗ и постановлением Правительства РФ от 16.03.09 № 228 является уполномоченным органом по защите прав субъектов ПДн и осуществляет надзор за соблюдением операторами требований законодательства при обработке ПДн. ФСТЭК России осуществляет надзор за методами и способами защиты информации в информационных системах персональных данных (ИСПДн) с использованием технических средств, а в ведении ФСБ России – надзор за методами и способами защиты информации в ИСПДн с использованием криптографических средств защиты информации.

Проверки за соблюдением законодательства о ПДн

Один из способов госнадзора за соответствием обработки ПДн требованиям законодательства – проведение проверок. Проверки проводят все перечисленные федеральные службы. Широко распространено мнение о том, что операторы могут не опасаться проверок ИСПДн на соответствие требованиям закона № 152-ФЗ до 1 июля 2011 года. Это мнение ошибочно: поскольку ИСПДн, созданные после 1 января 2011 года, уже должны соответствовать требованиям законодательства (ч. 3 ст. 25 закона № 152-ФЗ), проверки могут осуществляться и сейчас.

Проверки Роскомнадзора. Порядок проведения проверок Роскомнадзором определен приказом Роскомнадзора от 01.12.09 № 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций » (далее – регламент № 630) и нормами Федерального закона от 26.12.08 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Плановые и внеплановые проверки. Согласно пунктам 17 и 66 регламента № 630, Роскомнадзор проводит плановые и внеплановые проверки в двух возможных формах: документарной (по месту нахождения Роскомнадзора или его территориальных органов) или выездной (по месту нахождения оператора или по месту фактического осуществления его деятельности).

Плановые проверки проводятся на основании ежегодного плана, который размещается на официальном сайте Роскомнадзора www.rsoc.ru. На сайте Генеральной прокуратуры России размещен сводный план проверок на 2011 год. Из всех проведенных Роскомнадзором проверок операторов более одной трети составляют внеплановые проверки, основанием для которых послужили в том числе жалобы субъектов ПДн на допущенные нарушения. О проведении плановой проверки оператор уведомляется не позднее чем за три рабочих дня до начала ее проведения посредством почтового отправления с уведомлением о вручении или иным доступным способом (п. 23 регламента № 630). О проведении внеплановой выездной проверки оператора должны уведомить не менее чем за 24 часа до начала ее проведения любым доступным способом (п. 29 регламента № 630). Данный порядок уведомления создает для операторов определенные трудности, так как формулировка «иным доступным способом» порождает значительную неопределенность и простор для злоупотреблений со стороны контролирующих органов.

Выездные проверки. В ходе выездной проверки сотрудники Роскомнадзора, согласно пункту 70.1 регламента № 630, не только знакомятся с документами компании, используемыми при осуществлении деятельности по обработке ПДн, но и проверяют конкретные меры по исполнению оператором обязательных требований законодательства о ПДн. То есть знакомятся с существующим у оператора порядком автоматизированной и неавтоматизированной обработки ПДн. При этом Роскомнадзор не проверяет используемые оператором технические средства защиты информации (включая криптографическую защиту) в ИСПДн, а также наличие у оператора соответствующих лицензий – это прерогатива ФСТЭК и ФСБ России.

Ответственность за нарушение законодательства о персональных данных

В соответствии со статьей 24 закона № 152-ФЗ за нарушение установленного законодательством РФ порядка обработки ПДн предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность. Сложившаяся на данный момент судебная практика свидетельствует о том, что чаще всего операторы ПДн привлекаются к ответственности в соответствии со статьями 13.11 и 19.7 Кодекса об административных нарушениях – за нарушения порядка сбора, хранения, использования или распространения ПДн (включая отсутствие у оператора согласия субъекта на обработку его данных), непредставление в Роскомнадзор уведомления об обработке ПДн или представление данного уведомления с неполными или недостоверными сведениями.

Многие операторы относятся к возможной перспективе административной ответственности несерьезно, учитывая, что меры наказания по статьям 13.11 и 19.7 Кодекса об административных правонарушениях для компании некритичны. Но нельзя забывать, что назначение административного наказания не освобождает лицо от исполнения обязанности, за неисполнение которой оно было подвергнуто наказанию. Если при проверке выявлены нарушения, то компании выносится предписание об их устранении. За невыполнение данного предписания тоже предусмотрена ответственность – штраф в отношении компании от 10 тыс. до 20 тыс. рублей, в отношении должностных лиц – от 1 тыс. до 3 тыс. рублей или дисквалификация на срок до трех лет (ч. 1 ст. 19.5 КоАП РФ). Дела об этих административных нарушениях рассматривают судьи (ч. 1 ст. 23.1 КоАП РФ). Если оператор или его должностное лицо были привлечены судом к административной ответственности по части 1 статьи 19.5 КоАП РФ за неисполнение предписания Роскомнадзора, однако и после этого выявленные нарушения не устранены, есть риск привлечения должностных лиц к уголовной ответственности по статье 315 Уголовного кодекса (неисполнение приговора суда, решения суда или иного судебного акта).

 

 

Вопрос в тему

Плановые проверки возможны лишь в отношении компаний, включенных в реестр операторов ПДн?

Нет, вопреки расхожему мнению плановые проверки проводятся как в отношении операторов ПДн, направивших в Роскомнадзор уведомление об обработке ПДн и включенных в реестр операторов, так и в отношении операторов, не включенных в реестр операторов, но осуществляющих обработку ПДн (п. 21 регламента № 630).

Сколько может длиться проверка оператора ПДн Роскомнадзором?

Срок проведения как плановой, так и внеплановой проверки не может превышать двадцати рабочих дней. В случае возникновения необходимости срок проведения проверки может быть продлен, но на срок не более двадцати рабочих дней (п. 31, 32 регламента № 630).

 

 

Основания для включения компании в план проверок

Основанием для включения компании в план проведения проверок является начало осуществления оператором деятельности по обработке ПДн, а также истечение трех лет со дня государственной регистрации оператора в качестве юридического лица либо истечение трех лет с момента окончания проведения последней плановой проверки оператора (п. 22 регламента № 630). При этом постановлением Правительства РФ от 23.11.09 № 944 для компаний, осуществляющих определенные виды деятельности в сфере здравоохранения, образования и социальной сфере, установлена меньшая периодичность для проведения плановых проверок.

 

 

Основания для проведения внеплановых проверок (п. 27 регламента № 630)

Истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения требований законодательства в области ПДн.

Поступление в Роскомнадзор обращений и заявлений граждан, юридических лиц, предпринимателей, информации от органов государственной власти, органов местного самоуправления, из СМИ о причинении вреда жизни, здоровью граждан или возникновении угрозы причинения такого вреда.

Приказ руководителя Роскомнадзора или руководителя территориального органа Роскомнадзора, изданный в соответствии с поручениями Президента РФ, Правительства РФ.

Нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн.

Нарушение операторами требований законодательства РФ в области ПДн, а также несоответствие сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности.

 



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Академия юриста компании

Академия

Смотрите полезные юридические видеолекции

Смотреть

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Рассылка

© Актион кадры и право, Медиагруппа Актион, 2007–2016

Журнал «Юрист компании» –
первый практический журнал для юриста

Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».


  • Мы в соцсетях

Входите! Открыто!
Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

Подпишитесь на рассылку. Это бесплатно.

В рассылках мы вовремя предупредим об акции, расскажем о новостях в работе юриста и изменениях в законодательстве.

×
Только для зарегистрированных пользователей

Всего минута на регистрацию и документы у вас в руках!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль