Согласно части 1 статьи 24 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) лица, виновные в нарушении требований 152-ФЗ, несут предусмотренную законодательством Российской Федерации ответственность. Риски быть привлеченным к юридической ответственности и попасть под действие санкций возникают у оператора как при неисполнении им требований 152-ФЗ, так и при исполнении им требований 152-ФЗ в силу несовершенства механизмов правового регулирования и субъективного подхода со стороны «государственных регуляторов» (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации, Федеральная служба безопасности Российской Федерации, Федеральная служба по техническому и экспортному контролю Российской Федерации, Прокуратура Российской Федерации, Федеральная служба по труду и занятости Российской Федерации).
Важные особенности юридической ответственности за невыполнение требований законодательства в сфере обработки и защиты персональных данных (далее - ПДн):
привлечение оператора к юридической ответственности и применение к нему санкций не освобождает оператора от выполнения обязанности, за неисполнение которой наказание было назначено;
солидарная ответственность оператора и лица, ответственного за организацию обработки персональных данных (при условии виновности вышеуказанного лица).
Вделаются следующие такие юридической ответственности за невыполнение требований 152-ФЗ как уголовная, административная, дисциплинарная, материальная и гражданско-правовая. Перечислим правовые нормы, устанавливающие каждый из вышеуказанных видов ответственности.
-
-
Уголовная ответственность предусмотрена следующими статьями УК РФ:
ст.137. Нарушение неприкосновенности частной жизни;
ст.171. Незаконное предпринимательство;
ст.272. Неправомерный доступ к компьютерной информации;
Административная ответственность предусмотрена следующими статьями КоАП РФ:
ст.5.27. Нарушение законодательства о труде и об охране труда;
ст.5.39. Отказ в предоставлении информации;
ст.13.11. Нарушение законодательства Российской Федерации в области
ПДн;
ст.13.12. Нарушение правил защиты информации;
ст.13.13. Незаконная деятельность в области защиты информации;
ст.13.14. Разглашение информации с ограниченным доступом;
ст.19.4.1. Воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора);
ст.19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль);
ст.19.6. Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения;
ст.19.7. Непредставление сведений (информации);
ст.19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии).
Дисциплинарная и материальная ответственность предусмотрена следующими статьями ТК РФ:
ст.81. Расторжение трудового договора по инициативе работодателя;
ст.90. Ответственность за нарушение норм, регулирующих обработку и защиту
ПДн работника;
ст.192. Дисциплинарные взыскания;
ст.237. Возмещение морального вреда, причиненного работнику;
ст.238. Материальная ответственность работника за ущерб, причиненный работодателю;
ст.241. Пределы материальной ответственности работника;
ст.242. Полная материальная ответственность работника;
ст.243. Случаи полной материальной ответственности;
ст.250. Снижение органом по рассмотрению трудовых споров размера ущерба, подлежащего взысканию с работника.
Гражданско-правовая ответственность предусмотрена следующими статьями Гражданского кодекса РФ:
ст.11. Судебная защита гражданских прав;
ст.15. Возмещение убытков;
ст.150. Нематериальные блага;
ст.151. Компенсация морального вреда;
ст.152.1. Охрана изображения гражданина;
ст.152.2. Охрана частной жизни гражданина.
Каждому из вышеназванных видов юридической ответственности соответствуют определённые санкции:
Уголовная ответственность - штраф до 300 тыс. руб., лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, арест на срок до шести месяцев, лишение свободы на срок до четырех лет.
Административная ответственность - предупреждение, штраф до 300 тыс. руб., конфискация несертифицированных средств защиты информации, дисквалификация на срок от шести месяцев до одного года.
Дисциплинарная и материальная ответственность - замечание, выговор, увольнение, ответственность работника в пределах своего среднего месячного заработка и в полном размере причиненного ущерба.
Гражданско-правовая ответственность - компенсация морального вреда субъекту персональных данных (обычно в пределах 50 тыс. руб.), возмещение имущественного вреда и понесенных субъектом персональных данных убытков.
В большинстве случаев операторы привлекаются к юридической ответственности по результатам выездных и документарных проверок, осуществляемых следующими надзорными органами: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации, Прокуратура Российской Федерации.
Юридическая ответственность за невыполнение требований законодательства в сфере обработки и защиты ПДн обладает определёнными особенностями, рассмотренными ниже:
оператор и лицо, ответственное за организацию обработки
ПДн (при условии виновности вышеуказанного лица), могут быть привлечены к административной и гражданской ответственности солидарно;
назначение административного наказания не освобождает оператора и лицо, ответственное за организацию обработки
ПДн, от исполнения обязанности, за неисполнение которой административное наказание было назначено;
операторам
ПДн необходимо помнить о том, что существует возможность понуждения к совершению определенных действий по решению суда. Если оператор будет уличен в злостном (систематичном) неисполнении судебного акта или в воспрепятствовании его исполнению, то виновное в этом должностное лицо оператора будет подлежать уголовной ответственности по ст.315
УК РФ «Неисполнение приговора суда, решения суда или иного судебного акта».