Нарушение требований законодательства о персональных данных и невыполнение обязанностей при взаимодействии с Роскомнадзором влечет за собой различные виды ответственности. Прежде всего, это административная ответственность, которая может выражаться в виде штрафа за сбор персональных данных в ненадлежащих целях. Гражданско-правовая ответственность наступает при причинении убытков или морального вреда гражданину. Работодатель также может привлечь своих сотрудников, допустивших нарушение, к дисциплинарной и материальной ответственности, поскольку несет ответственность за нарушение правил работы с персональными данными работников. В случаях, когда действия физического лица содержат признаки преступления, может быть применена уголовная ответственность.
Административная ответственность предусмотрена за следующие нарушения:
Нарушение правил обработки персональных данных.
Неисполнение обязанностей при взаимодействии с субъектом персональных данных.
Невыполнение требований по защите персональных данных.
Неисполнение обязанностей при взаимодействии с Роскомнадзором.
Нарушение требований к размещению и обработке биометрических персональных данных в Единой биометрической системе (ЕБС) и других информационных системах, обеспечивающих аутентификацию на основе таких данных.
При выявлении нескольких нарушений, предусмотренных одной статьей КоАП РФ, ответственность наступает за одно нарушение. Если нарушения предусмотрены разными статьями, применяется наиболее строгое наказание, возможно с назначением дополнительных санкций. Организация и физическое лицо могут быть привлечены к ответственности одновременно, за исключением случаев, когда к ответственности привлечено должностное лицо организации. Организация может избежать наказания, если докажет принятие всех предусмотренных законом мер для соблюдения правил.
Основным видом административного наказания является штраф, размер которого зависит от конкретного нарушения. Например, за обработку персональных данных без письменного согласия, когда оно требуется, или с нарушением требований к нему, максимальный штраф для организации может достигать 700 000 рублей, а при повторном нарушении – 1 500 000 рублей.
Предупреждение вместо административного штрафа возможно при соблюдении определенных условий: если наказание в виде предупреждения не исключено для данного нарушения, оно выявлено в ходе государственного или муниципального контроля, совершено впервые и соответствуют условиям части 2 статьи 3.4 КоАП РФ. Однако для некоторых нарушений штраф заменить нельзя.
Для социально ориентированных некоммерческих организаций (СОНКО) и малых предприятий (включая микропредприятия), относящихся к субъектам малого и среднего предпринимательства (СМСП), административный штраф может назначаться с учетом размеров штрафов для индивидуальных предпринимателей (ИП) и должностных лиц. Например, для малого предприятия штраф может быть назначен в размере, предусмотренном для ИП, или в половинном размере от штрафа для юридического лица. Для СОНКО при привлечении к ответственности по части 2 статьи 13.11 КоАП РФ размер штрафа составит от 150 000 до 350 000 рублей. Эти правила не действуют, если нормами законодательства ИП приравнены к юридическим лицам.
Административная ответственность за нарушение правил обработки персональных данных включает:
Обработку персональных данных в случаях, не предусмотренных законом. Максимальный штраф для должностных лиц и ИП – 100 000 рублей, для организации – 300 000 рублей. При повторном нарушении – до 200 000 рублей для должностных лиц и до 500 000 рублей для организаций и ИП.
Обработку персональных данных в целях, несовместимых с целями сбора. Штрафы аналогичны предыдущему пункту.
Обработку персональных данных без письменного согласия, когда оно требуется, или с нарушением требований к нему. Максимальный штраф для должностных лиц – 300 000 рублей, для организации – 700 000 рублей. При повторном нарушении – до 500 000 рублей для должностных лиц, до 1 000 000 рублей для ИП и до 1 500 000 рублей для организаций.
Обработку персональных данных граждан РФ без использования баз данных, находящихся в России. Максимальный штраф для должностных лиц – 200 000 рублей (при повторном – 800 000 рублей), для организации или ИП – 6 000 000 рублей (при повторном – 18 000 000 рублей).
Административная ответственность за неисполнение оператором обязанностей при взаимодействии с гражданином:
Непредставление гражданину запрошенной информации в установленный срок. Максимальный штраф для должностных лиц – 12 000 рублей, для организации – 80 000 рублей, для ИП – 30 000 рублей.
Невыполнение требования об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки. Максимальный штраф для должностных лиц – 20 000 рублей (при повторном – 50 000 рублей), для организации – 90 000 рублей (при повторном – 500 000 рублей), для ИП – 40 000 рублей (при повторном – 100 000 рублей).
Административная ответственность за невыполнение требований по защите персональных данных:
Неопубликование или необеспечение неограниченного доступа к документам о политике в отношении обработки персональных данных и мерах по их защите. Максимальный штраф для должностных лиц – 12 000 рублей, для организации – 60 000 рублей, для ИП – 20 000 рублей.
Необеспечение сохранности данных при неавтоматизированной обработке, повлекшее неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия. Максимальный штраф для должностных лиц – 20 000 рублей, для организации – 100 000 рублей, для ИП – 40 000 рублей.
Утечка персональных данных (неправомерная передача, предоставление, распространение, доступ). Максимальные штрафы варьируются в зависимости от объема утечки и типа данных, достигая для организаций и ИП до 15 000 000 рублей, а при повторных утечках – оборотных штрафов от 1 до 3% выручки, но не менее 20-25 млн рублей и не более 500 млн рублей. Для должностных лиц предусмотрены фиксированные штрафы.
Административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором:
Непредставление информации, запрошенной Роскомнадзором.
Невыполнение в срок законного предписания Роскомнадзора.
Препятствование проведению проверки или уклонение от нее.
Невыполнение требования Роскомнадзора об уточнении, блокировании или уничтожении персональных данных.
Неуведомление (несвоевременное уведомление) Роскомнадзора о намерении осуществлять обработку персональных данных. Максимальный штраф для должностных лиц – 50 000 рублей, для ИП и организаций – 300 000 рублей.
Неуведомление (несвоевременное уведомление) Роскомнадзора о неправомерной или случайной передаче персональных данных, повлекшей нарушение прав субъектов. Максимальный штраф для должностных лиц – 800 000 рублей, для ИП и организаций – 3 000 000 рублей.
Административная ответственность за нарушение требований по размещению и обработке биометрических персональных данных в ЕБС:
Размещение, обновление биометрических персональных данных в ЕБС с нарушением установленных требований. Максимальный штраф для должностных лиц – 300 000 рублей, для организации – 1 000 000 рублей.
Нарушение порядка обработки биометрических персональных данных в ЕБС и других информационных системах. Максимальный штраф для должностных лиц – 300 000 рублей, для организации – 1 000 000 рублей.
Непринятие мер по обеспечению безопасности биометрических персональных данных. Максимальный штраф для должностных лиц – 500 000 рублей, для организации – 1 500 000 рублей.
Обработка биометрических персональных данных для аутентификации без аккредитации. Максимальный штраф для должностных лиц – 1 000 000 рублей, для организации – 2 000 000 рублей. ИП несут ответственность как должностные лица.
Гражданско-правовая ответственность за нарушение законодательства о персональных данных может включать компенсацию морального вреда, возмещение убытков и взыскание неустойки, если она предусмотрена договором. Моральный вред возмещается независимо от возмещения имущественного вреда. Размер компенсации морального вреда определяется судом с учетом степени вины и страданий гражданина. Убытки взыскиваются при доказанности вреда, противоправности поведения, вины и причинно-следственной связи. Вина презюмируется, и ее отсутствие должен доказывать нарушитель. Возмещение вреда, причиненного работником, осуществляет работодатель.
Ответственность работника и работодателя за нарушения законодательства о персональных данных:
Работодатель несет материальную ответственность перед своими работниками за причинение материального ущерба и (или) морального вреда вследствие нарушения законодательства о персональных данных. Работник может быть привлечен к дисциплинарной и материальной ответственности, если по его вине произошло нарушение. Дисциплинарная ответственность может выражаться в замечании, выговоре или увольнении. Материальная ответственность работника ограничивается прямым действительным ущербом, причиненным работодателю.
Уголовная ответственность предусмотрена за незаконные использование, передачу, сбор и хранение компьютерной информации с персональными данными, а также за создание и обеспечение функционирования информационных ресурсов для незаконного хранения и распространения такой информации. Уголовной ответственности подлежат физические лица. Также уголовная ответственность предусмотрена за неправомерный отказ должностного лица в предоставлении гражданину документов, затрагивающих его права и свободы.
При передаче персональных данных третьему лицу оператор несет ответственность как за свои действия, так и, при определенных условиях, за действия третьего лица. Если оператор поручал третьему лицу обработку персональных данных, он несет ответственность за нарушения, допущенные как им при передаче, так и третьим лицом. Если оператор не поручал обработку, но допустил нарушения при передаче, он несет ответственность за разглашение. Если оператор не нарушал законодательство при передаче, но нарушения допустило третье лицо, оператор ответственности не несет, если не поручал обработку.
За нарушения, допущенные работниками оператора, которым переданы персональные данные для исполнения служебных обязанностей, гражданско-правовую ответственность несет оператор. К административной ответственности могут быть одновременно привлечены оператор и работник, за исключением случаев, когда ответственность несет только работник. Бывший работник, продолживший обработку персональных данных после увольнения, привлекается к административной ответственности самостоятельно.