За что штрафует Роскомнадзор или как подготовиться к проверке по защите персональных данных?
Роскомнадзор является федеральным органом исполнительной власти, находящимся в ведении Минкомсвязи России и контролирует соответствие обработки персональных данных требованиям российского законодательства.
На сайтах своих 65 территориальных управлений Роскомнадзор публикует результаты проведения плановых и внеплановых проверок.
С мая по ноябрь 2014 года было опубликовано 750 сообщений о нарушениях закона 152-ФЗ «О персональных данных», его подзаконных актов, а также главы 14 ТК РФ.
За какие нарушения штрафует Роскомнадзор?
Нарушения закона 152-ФЗ «О персональных данных»
В результате проверок, проведённых с мая по ноябрь, было установлено, что 50% компаний нарушают ч. 4 ст. 20 закона 152-ФЗ, которая обязывает в течение 30 дней отвечать на письменный запрос надзорного органа. Как правило, в таком запросе содержится требование направить уведомление об обработке персональных данных.
Согласно ч. 2 ст. 18.1 152-ФЗ оператор персональных данных должен опубликовать политику в отношении обработки персональных данных. Это требование нарушили 7 % организаций, проверенных Роскомнадзором. Зачастую клиенты оставляют online-заявки на сайтах Интернет-магазинов, а также передают свои персональные данные, записываясь в автосервис или на приём к врачу. Согласно 152-ФЗ политика обработки персональных данных должна быть общедоступной: если у компании нет своего сайта, то её необходимо разместить хотя бы на информационном стенде.
5 % компаний нарушили ч. 3 ст. 22 152-ФЗ, согласно которой при уведомлении Роскомнадзора необходимо указывать актуальные и соответствующие действительности сведения, такие как наименование, адрес оператора, ФИО ответственного лица, категории персональных данных, цель их обработки и иные сведения, предусмотренные данной статьёй.
Если организация не уведомит Роскомнадзор об изменении этих сведений, то в случае проведения проверки она будет оштрафована.
Наименее распространёнными нарушениями закона «О персональных данных» оказались:
- отсутствие согласия на обработку персональных данных (ч. 1 ст. 6);
- раскрытие и распространение персональных данных в нарушение ст. 7 закона;
- незаконная передача персональных данных другой компании (ч. 4 ст. 9);
- незаконная обработка специальных категорий персональных данных (ч. 1 ст. 10).
Нарушения постановления Правительства № 687
Постановление Правительства № 687 от 15.09.2008 является подзаконным актом к закону 152-ФЗ «О персональных данных». Нарушения его требований были выявлены у 5% проверяемых компаний. Этот документ регламентирует хранение и использование бумажных документов, содержащих персональные данные.
Чаще всего компании нарушают требования к форме документов (п.7). Например, в них необходимо указывать перечень действий, совершаемых с персональными данными, а также срок и цель их обработки. Также нарушаются требования к местам хранения документов (п.13). Разные документы (например, трудовые договоры и договоры с клиентами) должны храниться раздельно в заранее определённых местах. Работники допускаются к использованию документов на основании приказа.
Нужно проинформировать работников, что они допущены к использованию документов (п. 6), а также ознакомить с локальными актами компании (например, положением об обработке персональных данных).
Нарушения постановления Правительства № 211
Постановление Правительства № 211 от 21.03.2012 ужесточает требования 152-ФЗ, но данный подзаконный акт обязателен к исполнению только государственными и муниципальными органами. В ходе проведения проверок Роскомнадзором были выявлены нарушения требований этого документа в 3% случаев.
В нём перечислены дополнительные документы и требования (п. 1), а также сказано, что государственный или муниципальный орган должен публиковать политику на сайте в течение 10 дней после её утверждения (п. 2).
Нарушение требований главы 14 Трудового кодекса РФ
За нарушение требований Трудового Кодекса был оштрафован 1% компаний. Работники этих компаний не были ознакомлены под роспись с документами, регламентирующими обработку их персональных данных, или же у работодателей и вовсе не оказалось таких документов.
В таком случае Роскомнадзор привлекает компанию к ответственности и передаёт информацию в Трудовую инспекцию.
Какова ответственность за нарушение закона «О защите персональных данных»?
Чаще всего организации-нарушители и их сотрудники подвергаются штрафам, но возможное наказание не ограничивается только штрафами. Ответственность за нарушение 152-ФЗ предусмотрена Трудовым кодексом, Кодексом об административных правонарушениях, а также Гражданским и Уголовным кодексами.
Административную ответственность предусматривает КоАП: согласно статье 13.11 на граждан может быть наложен штраф в размере от 300 до 500 руб, а организацию могут оштрафовать на сумму до 10.000 руб. Если компания не выполнит предписание Роскомнадзора в срок или не ответит на его запрос, штраф может составить до 20.000 руб.
Штраф до 50.000 руб. предусмотрен за нарушения трудового законодательства, в том числе главы 14 ТК РФ.
Дисциплинарная ответственность предусмотрена главой 14 Трудового Кодекса и касается защиты персональных данных работников. Работники могут в судебном порядке обжаловать действия работодателя при обработке их персональных данных, в результате чего виновные в нарушениях работники могут получить замечание, выговор или быть уволены. В случае разглашения любой охраняемой законом тайны, в том числе персональных данных другого работника, работник может быть уволен по инициативе работодателя.
Гражданско-правовая ответственность предусмотрена законом «О персональных данных», который предоставляет физическим лицам право на возмещение морального и имущественного вреда, а также компенсацию понесённых убытков.
Уголовная ответственность может наступить за нарушение неприкосновенности частной жизни, к которому можно отнести незаконный сбор или распространение сведений, составляющих личную или семейную тайну. Статья 137 УК РФ предусматривает наказание в виде штрафа до 300.000 руб., принудительных работ или лишения свободы на срок до 4 лет.
Как защититься от штрафа?
Лучший способ обезопасить себя и свою компанию от штрафов и иных видов ответственности – это обеспечить соответствие деятельности компании требованиям действующего законодательства и заблаговременно подготовиться к возможной проверке Роскомнадзора. Это можно сделать с помощью сервиса «Персональные данные», который поможет провести в Вашей компании необходимые организационные, правовые и технические мероприятия.