Поправки, внесенные в Кодекс Российской Федерации об административных правонарушениях Федеральным законом от 07.02.2017 № 13-ФЗ, предусматривают увеличение с 1 июля 2017 года штрафов за нарушения в области обработки персональных данных для их операторов. Реестр операторов имеется на сайте Роскомнадзора и включает страховые компании, банки, сотовые операторы, турагентства.
В прежней редакции статьи 13.11 Кодекса Российской Федерации об административных правонарушениях была установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц - от 500 рублей до тысячи рублей, на юридических лиц - от 5 тысяч рублей до 10 тысяч рублей.
Новой редакцией статьи расширен перечень составов правонарушений, а также значительно увеличены размеры штрафов.
Вместо одного общего состава за нарушение порядка сбора, хранения, использования или распространения персональных данных предусмотрено семь составов.
Так, теперь установлена административная ответственность за:
- обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния;
- обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;
- невыполнение оператором предусмотренной законодательством обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
- невыполнение оператором предусмотренной законодательством обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;
- невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния;
- невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
Кроме того, составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались только прокурором).
В прежней редакции статьи 13.11 Кодекса Российской Федерации об административных правонарушениях была установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц - от 500 рублей до тысячи рублей, на юридических лиц - от 5 тысяч рублей до 10 тысяч рублей.
Новой редакцией статьи расширен перечень составов правонарушений, а также значительно увеличены размеры штрафов.
Вместо одного общего состава за нарушение порядка сбора, хранения, использования или распространения персональных данных предусмотрено семь составов.
Так, теперь установлена административная ответственность за:
- обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния;
- обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;
- невыполнение оператором предусмотренной законодательством обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
- невыполнение оператором предусмотренной законодательством обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;
- невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния;
- невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
Кроме того, составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались только прокурором).