Мудрый Юрист

Ответственность за нарушение законодательства о персональных данных

Смоляков П.Н., судья Забайкальского краевого суда, доцент Байкальского государственного университета.

В ч. 1 ст. 24 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) установлено, что лица, виновные в нарушении его требований, несут предусмотренную законодательством РФ ответственность.

1. Административная ответственность за нарушение законодательства о персональных данных

Такая ответственность многообразна, но основной нормой выступает ст. 13.11 КоАП РФ "Нарушение законодательства в области персональных данных".

Данная статья содержит несколько составов.

На основании ч. 1 данной статьи наказывается обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 указанной статьи, если эти действия не содержат уголовно наказуемого деяния.

Такое деяние влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от 5 000 руб.; на юридические лица - от 30 000 до 50 000 руб.

В силу ч. 2 ст. 13.11 КоАП РФ административным правонарушением признается обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, что наказывается наложением административного штрафа на граждан в размере от 3 000 до 5 000 руб.; на должностных лиц - от 10 000 до 20 000 руб.; на юридические лица - от 15 000 до 75 000 руб.

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет ответственность по ч. 3 рассматриваемой статьи (предупреждение или наложение административного штрафа на граждан в размере от 700 до 1 500 руб.; на должностных лиц - от 3 000 до 6 000 руб.; на индивидуальных предпринимателей - от 5 000 до 10 000 руб.; на юридические лица - от 15 000 до 30 000 руб.).

Согласно ч. 4 административная ответственность наступает за невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных (предупреждение или наложение административного штрафа на граждан в размере от 1 000 до 2 000 руб.; на должностных лиц - от 4 000 до 6 000 руб.; на индивидуальных предпринимателей - от 10 000 до 15 000 руб.; на юридические лица - от 20 000 до 40 000 руб.).

В ч. 5 говорится о невыполнении оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (предупреждение или наложение административного штрафа на граждан в размере от 1 000 до 2 000 руб.; на должностных лиц - от 4 000 до 10 000 руб.; на индивидуальных предпринимателей - от 10 000 до 20 000 руб.; на юридические лица - от 25 000 до 45 000 руб.).

Как предусматривает ч. 6 ст. 13.11 КоАП РФ, оператор может быть привлечен к ответственности в случае невыполнения при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния (наложение административного штрафа на граждан в размере от 700 до 2 000 руб.; на должностных лиц - от 4 000 до 10 000 руб.; на индивидуальных предпринимателей - от 10 000 до 20 000 руб.; на юридические лица - от 25 000 до 50 000 руб.).

Частью 7 цитируемой статьи установлена ответственность за невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных (предупреждение или наложение административного штрафа на должностных лиц в размере от 3 000 до 6 000 руб.).

Ответственность за нарушение законодательства о персональных данных введена и другими нормами КоАП РФ.

Так, ст. 19.7.9 (ч. ч. 1 - 3) КоАП РФ предусмотрена ответственность за непредставление сведений в автоматизированные централизованные базы персональных данных о пассажирах и персонале транспортных средств или представление недостоверных сведений либо нарушение порядка формирования и ведения указанных баз, совершенные по неосторожности.

Деяния, предусмотренные ч. 1 данной статьи, влекут наложение административного штрафа на должностных лиц в размере от 20 000 до 30 000 руб.; на индивидуальных предпринимателей - от 30 000 до 50 000 руб.; на юридические лица - от 50 000 до 100 000 руб.

Предусмотренные ч. 2 - наложение административного штрафа на должностных лиц в размере от 30 000 до 50 000 руб.; на индивидуальных предпринимателей - от 50 000 до 70 000 руб. либо административное приостановление деятельности на срок до 90 суток; на юридические лица - от 100 000 до 200 000 руб. либо административное приостановление деятельности на срок до 90 суток.

Предусмотренные ч. 3 - наложение административного штрафа на должностных лиц в размере от 50 000 до 100 000 руб.; на индивидуальных предпринимателей - от 100 000 до 150 000 руб. либо административное приостановление деятельности на срок до 90 суток; на юридические лица - от 200 000 до 500 000 руб. либо административное приостановление деятельности на срок до 90 суток.

Согласно ст. 5.39 КоАП РФ административную ответственность повлечет неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации.

Такие действия влекут наложение административного штрафа на должностных лиц в размере от 5 000 до 10 000 руб.

К рассматриваемому вопросу может иметь отношение и ст. 13.12 КоАП РФ.

Исходя из ч. 1 ст. 13.12 КоАП РФ преследуется нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), которое влечет наложение административного штрафа на граждан в размере от 1 000 до 1 500 руб.; на должностных лиц - от 1 500 до 2 500 руб.; на юридические лица - от 15 000 до 20 000 руб.

В ч. 2 данной статьи оговаривается ответственность за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влекущее наложение административного штрафа на граждан в размере от 1 500 до 2 500 руб. с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от 2 500 до 3 000 руб.; на юридические лица - от 20 000 до 25 000 руб. с конфискацией несертифицированных средств защиты информации или без таковой.

Согласно ч. 3 данной нормы административным правонарушением является нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, это влечет наложение административного штрафа на должностных лиц в размере от 2 000 до 3 000 руб.; на юридические лица - от 20 000 до 25 000 руб.

Частью 4 предусмотрено использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, что влечет наложение административного штрафа на должностных лиц в размере от 3 000 до 4 000 руб.; на юридические лица - от 20 000 до 30 000 руб. с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

В соответствии с ч. 5 ст. 13.12 КоАП РФ грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от 2 000 до 3 000 руб. или административное приостановление деятельности на срок до 90 суток; на должностных лиц - от 2 000 до 3 000 руб.; на юридические лица - от 20 000 до 25 000 руб. или административное приостановление деятельности на срок до 90 суток.

На основании ч. 6 наказывается нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных ч. ч. 1, 2 и 5 данной статьи (наложение административного штрафа на граждан в размере от 500 до 1 000 руб.; на должностных лиц - от 1 000 до 2 000 руб.; на юридические лица - от 10 000 до 15 000 руб.).

Из ч. 7 следует, что нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных ч. ч. 3 и 4 данной статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от 1 000 до 2 000 руб.; на должностных лиц - от 3 000 до 4 000 руб.; на юридические лица - от 15 000 до 20 000 руб.

В соответствии со ст. 13.14 КоАП РФ правонарушением является разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных ч. 1 ст. 14.33 КоАП РФ. Это влечет наложение административного штрафа на граждан в размере от 500 до 1 000 руб.; на должностных лиц - от 4 000 до 5 000 руб.

2. Гражданско-правовая ответственность за нарушение законодательства о персональных данных

Частью 2 ст. 24 Закона о персональных данных предусмотрено, что моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным Законом, а также требований к защите персональных данных, установленных в соответствии с данным Законом, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Таким образом, прямо допускается возмещение имущественного вреда и убытков в порядке, который регламентируют общие нормы гражданского законодательства (ст. ст. 15, 1064 ГК РФ).

Не исключается обращение и к такой форме гражданско-правовой ответственности, как опровержение сведений, порочащих честь, достоинство или деловую репутацию гражданина, пострадавшего от нарушения законодательства о персональных данных, - ст. 152 ГК РФ.

3. Дисциплинарная ответственность за нарушение законодательства о персональных данных

В ст. 90 ТК РФ установлено, что лица, виновные в нарушении законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ однократное грубое нарушение работником трудовых обязанностей в виде разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, может стать основанием для расторжения трудового договора работодателем.

В аналогичных случаях применяется и ст. 192 ТК РФ о дисциплинарных взысканиях: 1) замечание; 2) выговор; 3) увольнение по соответствующим основаниям.

Увольнение по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ является самостоятельным дисциплинарным взысканием в случаях, когда виновные действия, дающие основания для утраты доверия, либо соответственно аморальный проступок совершены работником по месту работы и в связи с исполнением им трудовых обязанностей. Подобное увольнение относится к увольнениям за нарушение трудовой дисциплины, таким образом, работника, разгласившего персональные данные, необходимо уволить с соблюдением процедуры, предусмотренной ст. 193 ТК РФ.

Говоря о государственной службе, следует обратиться к ч. 2 ст. 42 Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", где сказано, что гражданский служащий, виновный в нарушении норм, регулирующих обработку персональных данных другого гражданского служащего, несет ответственность в соответствии с данным Законом (в т.ч. дисциплинарную по ст. 57) и другими федеральными законами.

4. Уголовная ответственность за нарушение законодательства о персональных данных

Уголовная ответственность за нарушение такого законодательства определена, например, в ч. 2 ст. 173.2 УК РФ, описывающей уголовную ответственность за приобретение документа, удостоверяющего личность, или использование персональных данных, полученных незаконным путем, если эти деяния совершены для внесения в Единый государственный реестр юридических лиц сведений о подставном лице.

Подобные действия наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от семи месяцев до одного года, либо обязательными работами на срок от 180 до 240 часов, либо исправительными работами на срок до двух лет.

Согласно ст. 137 УК РФ также наказывается незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ч. ч. 1 - 2). По ч. 3 этой статьи к ответственности можно привлечь за незаконное распространение в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях информации, указывающей на личность несовершеннолетнего потерпевшего, не достигшего шестнадцатилетнего возраста, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий, повлекшее причинение вреда здоровью несовершеннолетнего, или психическое расстройство несовершеннолетнего, или иные тяжкие последствия.

Деяния, перечисленные в ч. 1 указанной статьи, наказываются штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до 360 часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Деяния, перечисленные в ч. 2 указанной статьи, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Деяния, перечисленные в ч. 3 указанной статьи, наказываются штрафом в размере от 150 000 до 350 000 руб. или в размере заработной платы или иного дохода осужденного за период от восемнадцати месяцев до трех лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от трех до пяти лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.

Персональные данные могут быть получены вследствие неправомерного доступа к охраняемой законом компьютерной информации. Если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, наступает ответственность по ч. 1 ст. 272 УК РФ. И оно наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности (ч. 2 ст. 272 УК РФ), наказывается штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.

Согласно ч. 3 ст. 272 УК РФ деяния, предусмотренные ч. ч. 1 или 2 данной статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, наказываются штрафом в размере до 500 000 руб. или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

Деяния, предусмотренные ч. ч. 1, 2 или 3 данной статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, наказываются лишением свободы на срок до семи лет.

Также должностное лицо может быть привлечено к уголовной ответственности на основании ст. 140 УК РФ за неправомерный отказ в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан.