Ответственность за нарушения в сфере персональных данных и при взаимодействии с Роскомнадзором

За несоблюдение законодательства о персональных данных и невыполнение обязанностей при взаимодействии с Роскомнадзором предусмотрены административные и уголовные наказания. Ответственность установлена, в частности, статьями 13.11, 13.11.3, 19.5 КоАП РФ и статьей 272.1 УК РФ.

Как правило, к административной ответственности привлекаются как организация, так и ее должностное лицо. Привлечение к административной или уголовной ответственности физического лица не освобождает организацию от административной ответственности за данное правонарушение (ч. 3 ст. 2.1 КоАП РФ). Должностными лицами признаются руководители и иные работники, выполняющие организационно-распорядительные или административно-хозяйственные функции (примечание к ст. 2.4 КоАП РФ), например, лицо, ответственное за обработку персональных данных.

Уголовная ответственность наступает только для физических лиц (ст. 19 УК РФ).

Административная ответственность за нарушения в области персональных данных:

Статьи 13.11, 13.11.3 КоАП РФ.

Таблица: Административная ответственность за нарушения обработки персональных данных (ст. 13.11 КоАП РФ)

|---|---|---|---|---|

| Части 1, 1.1 | Обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора. | Обработка данных из соцсетей, считая их общедоступными. | Для организации: штраф 150 000 - 300 000 руб.; для должностного лица и ИП: штраф 50 000 - 100 000 руб. | Повторное нарушение влечет более строгие штрафы. Ответственность не применяется при наличии признаков нарушений, предусмотренных ч. 2, 11 - 18 ст. 13.11 КоАП РФ. Для физлиц дополнительно: не должно быть состава преступления в соответствии с УК РФ. |

| Части 2, 2.1 | Обработка персональных данных без письменного согласия физлица или на основании согласия, не соответствующего требованиям. | Прием заказа в интернет-магазине без оформления согласия на обработку персональных данных. | Для организации: штраф 300 000 - 700 000 руб.; для должностного лица и ИП: штраф 100 000 - 300 000 руб. | Повторное нарушение влечет более строгие штрафы. Привлечение физлица в первом случае возможно, если в его действиях нет состава преступления в соответствии с УК РФ. |

| Часть 3 | Неопубликование (или необеспечение неограниченного доступа) к политике оператора в отношении обработки персональных данных или сведений о реализуемых требованиях к защите персональных данных. | Отсутствие политики об обработке персональных данных на сайте. | Для организации: штраф 30 000 - 60 000 руб.; для должностного лица: штраф 6 000 - 12 000 руб.; для ИП: штраф 10 000 - 20 000 руб. | |

| Часть 4 | Непредоставление физлицу информации, касающейся обработки его персональных данных (обязанность предусмотрена ч. 7 ст. 14 Закона о персональных данных). | Отказ в предоставлении информации о целях обработки и сроках хранения персональных данных по запросу физлица. | Для организации: штраф 40 000 - 80 000 руб.; для должностного лица: штраф 8 000 - 12 000 руб.; для ИП: штраф 20 000 - 30 000 руб. | |

| Части 5, 5.1 | Невыполнение в установленный срок требования об уточнении, блокировании или уничтожении персональных данных. | Неисполнение требования физлица об уточнении его персональных данных в срок 7 рабочих дней (ч. 2 ст. 21 Закона о персональных данных). | Для организации: штраф 50 000 - 90 000 руб.; для должностного лица: штраф 8 000 - 20 000 руб.; для ИП: штраф 20 000 - 40 000 руб. | Повторное нарушение влечет более строгие штрафы. Требование может быть предъявлено физлицом, его представителем или Роскомнадзором. Ответственность наступает, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. |

| Часть 6 | Обработка персональных данных без использования средств автоматизации при несоблюдении условий, обеспечивающих сохранность данных и исключающих несанкционированный доступ. | Хранение персональных данных, обрабатываемых в разных целях, на одном материальном носителе; отсутствие лиц, ответственных за работу с данными; непринятие мер по сохранности данных. | Для организации: штраф 50 000 - 100 000 руб.; для должностного лица: штраф 8 000 - 20 000 руб.; для ИП: штраф 20 000 - 40 000 руб. | Ответственность наступает, если нарушение повлекло неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия в отношении персональных данных. Для физлиц дополнительно - не должно быть состава преступления в соответствии с УК РФ. |

| Часть 7 | Непроведение обезличивания персональных данных, когда это обязательно, или несоблюдение требований к обезличиванию. | Использование метода перемешивания без локального акта, устанавливающего правила перемешивания. | Для должностного лица: штраф 6 000 - 12 000 руб. | Привлечь по этой норме можно только должностных лиц государственных или муниципальных органов. |

| Части 8, 9 | Сбор персональных данных (в том числе через Интернет) без обеспечения записи, систематизации, накопления, хранения, уточнения (обновления, изменения) персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. | Сбор персональных данных на сайте и хранение их без использования баз данных в России. | Для организации и ИП: штраф 1 000 000 - 6 000 000 руб., за повторное нарушение - 6 000 000 - 18 000 000 руб.; для должностного лица: штраф 100 000 - 200 000 руб., за повторное нарушение - 500 000 - 800 000 руб. | |

| Часть 12 | Действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) персональных данных от 1000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов. | Утечка персональных данных клиентов от 1 000 человек. | Для организации и ИП: штраф 3 000 000 - 5 000 000 руб.; для должностного лица: штраф 200 000 - 400 000 руб. | К ответственности не привлекаются НКО, государственные и муниципальные органы. Физлицо привлекут, если нет состава преступления в соответствии с УК РФ. |

| Часть 13 | Действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) персональных данных от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов. | Утечка персональных данных клиентов от 10 000 человек. | Для организации и ИП: штраф 5 000 000 - 10 000 000 руб.; для должностного лица: штраф 300 000 - 500 000 руб. | К ответственности не привлекаются НКО, государственные и муниципальные органы. Физлицо привлекут, если нет состава преступления в соответствии с УК РФ. |

| Часть 14 | Действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) персональных данных более 100 000 субъектов и (или) более 1 000 000 идентификаторов. | Утечка персональных данных клиентов от 100 000 человек. | Для организации и ИП: штраф 10 000 000 - 15 000 000 руб.; для должностного лица: штраф 400 000 - 600 000 руб. | К ответственности не привлекаются НКО, государственные и муниципальные органы. Физлицо привлекут, если нет состава преступления в соответствии с УК РФ. |

| Часть 16 | Действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) специальных категорий персональных данных. | Утечка данных о национальной принадлежности или политических взглядах. | Для организации и ИП: штраф 10 000 000 - 15 000 000 руб.; для должностного лица: штраф 1 000 000 - 1 300 000 руб. | К ответственности не привлекаются НКО, государственные и муниципальные органы. |

| Часть 17 | Действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, содержащей биометрические персональные данные. | Утечка данных о голосе клиентов. | Для организации и ИП: штраф 15 000 000 - 20 000 000 руб.; для должностного лица: штраф 1 300 000 - 1 500 000 руб. | К ответственности не привлекаются НКО, государственные и муниципальные органы. |

| Часть 15 | Действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) персональных данных 1 000 и более субъектов и (или) 10 000 и более идентификаторов (кроме специальных категорий данных и биометрических персональных данных) лицом, которое уже привлекалось к ответственности за утечку персональных данных. | Повторная утечка персональных данных (кроме специальных категорий и биометрических данных) 1 000 и более человек. | Для организации и ИП: штраф 1 - 3% от выручки, но не менее 20 000 000 руб. и не более 500 000 000 руб.; для должностного лица: штраф 800 000 - 1 200 000 руб. | При назначении наказания учитываются отягчающие обстоятельства. К ответственности не привлекаются НКО, государственные и муниципальные органы. |

| Часть 18 | Действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) специальных категорий данных или биометрических персональных данных лицом, которое уже привлекалось к ответственности за утечку персональных данных. | Повторная утечка специальных категорий или биометрических персональных данных. | Для организации и ИП: штраф 1 - 3% от выручки, но не менее 25 000 000 руб. и не более 500 000 000 руб.; для должностного лица: штраф 1 500 000 - 2 000 000 руб. | При назначении наказания учитываются отягчающие обстоятельства. К ответственности не привлекаются НКО, государственные и муниципальные органы. |

Таблица: Административная ответственность за нарушения обработки биометрических персональных данных (ст. 13.11.3 КоАП РФ)

|---|---|---|---|---|

| Часть 1 | Размещение и обновление банками, МФЦ, иными организациями в определенных федеральными законами случаях биометрических персональных данных субъекта персональных данных в ЕБС с нарушением установленных требований. | Размещение в ЕБС биометрических персональных данных физлица без его согласия. | Для организации: штраф 500 000 - 1 000 000 руб.; для должностного лица: штраф 100 000 - 300 000 руб. | Привлечь к ответственности по этой части можно банки, МФЦ, а также в случаях, определенных федеральными законами, иные организации. |

| Часть 2 | Нарушение Порядка обработки биометрических персональных данных в ЕБС; Нарушение Порядка обработки биометрических персональных данных, векторов ЕБС в информсистемах госорганов, Банка России, аккредитованных организаций; Нарушение Требований к информационным технологиям и техническим средствам, которые предназначены для обработки биометрических персональных данных, векторов ЕБС в целях проведения идентификации и (или) аутентификации. | Незаконное хранение биометрических персональных данных в информсистеме. | Для организации: штраф 500 000 - 1 000 000 руб.; для должностного лица и ИП: штраф 100 000 - 300 000 руб. | |

| Часть 3 | Непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных: при обработке в ЕБС, ее взаимодействии с иными информсистемами; при обработке в иных информсистемах, обеспечивающих аутентификацию с использованием биометрических персональных данных. | Обработка биометрических персональных данных в информсистеме без принятия мер по антивирусной защите данных. | Для организации: штраф 1 000 000 - 1 500 000 руб.; для должностного лица и ИП: штраф 300 000 - 500 000 руб. | |

| Часть 4 | Обработка биометрических персональных данных, векторов ЕБС для аутентификации физлиц в информсистемах госорганов, организаций, Банка России ведется в случае, когда аккредитации нет либо она приостановлена или прекращена. | Обработка биометрических персональных данных в специальной информсистеме организации без аккредитации. | Для организации: штраф 1 000 000 - 2 000 000 руб.; для должностного лица: штраф 500 000 - 1 000 000 руб. | |

Примечания к таблицам:

Для СОНКО и малых предприятий (включая микропредприятия), включенных в соответствующий реестр на момент совершения правонарушения, штрафы назначаются в размере от половины минимального до половины максимального штрафа, предусмотренного для организации, либо в размере половины фиксированного штрафа (ч. 2, 3 ст. 4.1.2 КоАП РФ). Штраф не может быть меньше минимального размера штрафа, установленного для должностного лица.

ИП несут ответственность как должностные лица, если КоАП РФ не предусматривает иное наказание (примечание к ст. 2.4 КоАП РФ).

Под организацией в контексте ст. 13.11 КоАП РФ понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом либо НКО (примечание 3 к ст. 13.11 КоАП РФ).

Под должностным лицом в контексте ст. 13.11 КоАП РФ понимается должностное лицо государственного или муниципального органа либо НКО (примечание 2 к ст. 13.11 КоАП РФ).

Уголовная ответственность за нарушения в области персональных данных:

Часть 2 ст. 173.2, ст. 272.1 УК РФ.

Таблица: Уголовная ответственность за нарушения в области персональных данных

|---|---|---|---|---|

| Часть 2 ст. 173.2 | Использование персональных данных, полученных незаконным путем, для внесения в ЕГРЮЛ (ЕГРИП) сведений о подставном лице. | Внесение в ЕГРЮЛ сведений о фиктивном директоре организации с использованием незаконно полученных персональных данных. | Штраф от 300 000 до 500 000 руб. или в размере зарплаты (иного дохода) за период от одного года до трех лет; принудительные работы на срок до трех лет; лишение свободы на срок до трех лет. | |

| Часть 1 ст. 272.1 | Незаконные использование и (или) передача, сбор и (или) хранение полученной незаконным путем компьютерной информации с персональными данными (кроме персональных данных несовершеннолетних, спецкатегорий данных и биометрических персональных данных). | Сбор компьютерной информации с персональными данными клиентов компаний путем несанкционированного доступа к серверам этих компаний. | Штраф до 300 000 руб. или в размере зарплаты (иного дохода) за период до одного года; принудительные работы на срок до четырех лет; лишение свободы на срок до четырех лет. | К ответственности не привлекается физлицо, обрабатывающее персональные данные исключительно для личных и семейных нужд (примечание 1 к ст. 272.1 УК РФ). |

| Часть 2 ст. 272.1 | Незаконные использование и (или) передача, сбор и (или) хранение полученной незаконным путем компьютерной информации с персональными данными несовершеннолетних, спецкатегориями данных и (или) биометрическими персональными данными. | Незаконное приобретение и использование данных о состоянии здоровья конкретных лиц. | Штраф до 700 000 руб. или в размере зарплаты (иного дохода) за период до двух лет с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до двух лет или без такового; принудительные работы на срок до пяти лет; лишение свободы на срок до пяти лет. | К ответственности не привлекается физлицо, обрабатывающее персональные данные исключительно для личных и семейных нужд (примечание 1 к ст. 272.1 УК РФ). |

| Часть 3 ст. 272.1 | Деяния, предусмотренные ч. 1 или 2 ст. 272.1 УК РФ, совершенные: из корыстной заинтересованности; с причинением крупного ущерба; группой лиц по предварительному сговору; с использованием своего служебного положения. | Сбор компьютерной информации с персональными данными клиентов компаний, полученной путем несанкционированного доступа к серверам этих компаний, с целью ее продажи. | Штраф до 1 000 000 руб. или в размере зарплаты (иного дохода) за период до трех лет с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до трех лет или без такового; принудительные работы на срок до пяти лет со штрафом до 1 000 000 руб. или в размере иного дохода за период до трех лет и с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до трех лет или без такового; лишение свободы на срок до шести лет со штрафом до 1 000 000 руб. или в размере иного дохода за период до трех лет и с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до трех лет или без такового. | К ответственности не привлекается физлицо, обрабатывающее персональные данные исключительно для личных и семейных нужд (примечание 1 к ст. 272.1 УК РФ). |

| Часть 4 ст. 272.1 | Деяния, предусмотренные ч. 1, 2 или 3 ст. 272.1 УК РФ, в случае трансграничной передачи компьютерной информации с персональными данными и (или) трансграничного перемещения ее носителей. | Отправка за границу незаконно полученных персональных данных граждан РФ. | Лишение свободы на срок до восьми лет со штрафом до 2 000 000 руб. или в размере зарплаты (иного дохода) за период до трех лет и с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до четырех лет или без такового. | К ответственности не привлекается физлицо, обрабатывающее персональные данные исключительно для личных и семейных нужд (примечание 1 к ст. 272.1 УК РФ). |

| Часть 5 ст. 272.1 | Деяния, предусмотренные ч. 1, 2, 3 или 4 ст. 272.1 УК РФ, если они повлекли тяжкие последствия или совершены организованной группой. | Передача за границу незаконно полученных персональных данных, что повлекло доступ неограниченного круга лиц к информации, составляющей охраняемую законом тайну. | Лишение свободы на срок до 10 лет со штрафом до 3 000 000 руб. или в размере зарплаты (иного дохода) за период до четырех лет и с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до пяти лет или без такового. | К ответственности не привлекается физлицо, обрабатывающее персональные данные исключительно для личных и семейных нужд (примечание 1 к ст. 272.1 УК РФ). |

| Часть 6 ст. 272.1 | Создание и (или) обеспечение функционирования информационного ресурса, заведомо предназначенного для незаконного хранения, передачи незаконно полученной компьютерной информации, содержащей персональные данные. | Создание сайта в Интернете специально для сбора и хранения персональных данных, полученных незаконным путем. | Штраф до 700 000 руб. или в размере зарплаты (иного дохода) за период до двух лет с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до двух лет или без такового; принудительные работы на срок до пяти лет со штрафом до 700 000 руб. или в размере иного дохода за период до двух лет и с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до двух лет или без такового; лишение свободы на срок до пяти лет со штрафом до 700 000 руб. или в размере иного дохода за период до двух лет и с лишением права занимать определенные должности (заниматься определенной деятельностью) на срок до двух лет или без такового. | К ответственности не привлекается физлицо, обрабатывающее персональные данные исключительно для личных и семейных нужд (примечание 1 к ст. 272.1 УК РФ). |

Ответственность за нарушения при взаимодействии с Роскомнадзором:

Помимо ответственности за нарушения в сфере персональных данных, предусмотрена ответственность за невыполнение обязанностей при взаимодействии с Роскомнадзором (его должностными лицами), установленных Законом о персональных данных и Положением о госконтроле (надзоре) за обработкой персональных данных (например, ч. 4 ст. 20, ст. 21 Закона, п. 48 Положения).

На практике за неисполнение таких обязанностей чаще всего привлекают к административной ответственности по следующим составам:

Таблица: Административная ответственность за нарушения при взаимодействии с Роскомнадзором

|---|---|---|---|

| Часть 10 ст. 13.11 | Неуведомление (несвоевременное уведомление) Роскомнадзора о намерении осуществлять обработку персональных данных. | Несообщение Роскомнадзору о намерении обрабатывать персональные данные. | Для организации и ИП: штраф 100 000 - 300 000 руб.; для должностного лица: штраф 30 000 - 50 000 руб. |

| Часть 11 ст. 13.11 | Неуведомление (несвоевременное уведомление) Роскомнадзора о неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, нарушающей права субъектов этих данных. | Несообщение Роскомнадзору об утечке персональных данных. | Для организации и ИП: штраф 1 000 000 - 3 000 000 руб.; для должностного лица: штраф 400 000 - 800 000 руб. |

| Часть 1 ст. 19.4.1 | Воспрепятствование законной деятельности должностного лица органа госконтроля (надзора) по проведению проверок или уклонение от таких проверок. | Недопуск проверяющих в офис для проведения выездной проверки. | Для организации: штраф 5 000 - 10 000 руб.; для должностного лица и ИП: штраф 2 000 - 4 000 руб. |

| Части 2, 3 ст. 19.4.1 | Воспрепятствование законной деятельности должностного лица органа госконтроля (надзора) по проведению проверок или уклонение от таких проверок, повлекшее невозможность проведения или завершения проверки. | Недопуск проверяющих в офис, из-за чего проверка не была завершена. | Для организации: штраф 20 000 - 50 000 руб., за повторное нарушение - 50 000 - 100 000 руб.; для должностного лица и ИП: штраф 5 000 - 10 000 руб., за повторное нарушение - 10 000 - 20 000 руб. или дисквалификация на срок от 6 месяцев до 1 года. |

| Часть 1 ст. 19.5 | Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа, осуществляющего госнадзор (контроль), или его должностного лица об устранении нарушения законодательства. | Неисполнение предписания об устранении нарушений, выданного по итогам проверки, в указанный срок. | Для организации: штраф 10 000 - 20 000 руб.; для должностного лица и ИП: штраф 1 000 - 2 000 руб. или дисквалификация на срок до трех лет. |

Примечания к таблице:

Может быть интересно