Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за утечку персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Комментируемая ст. 13.11 КоАП РФ устанавливает административную ответственность за распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Комментарий к ст. 13.11 КоАП РФ
Отметим, что предыдущая редакция ст. 13.11 КоАП РФ устанавливала административную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Новая редакция содержит семь составов административных правонарушений, дифференцированных по конкретным обязанностям оператора персональных данных, за неисполнение которых наступает административная ответственность.
Объектом правонарушения по ст. 13.11 КоАП РФ являются общественные отношения, связанные с интересом личности в информационной сфере. Дополнительным объектом являются правоотношения в сфере защиты информации. Непосредственным объектом правонарушения является право лица (субъекта персональных данных) на неприкосновенность частной жизни, личную и семейную тайну, а также право на защиту его персональных данных, закрепленное в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ).
К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
С субъективной стороны правонарушения ч. ч. 1 и 2 могут быть совершены только умышленно, остальные правонарушения — как умышленно, так и по неосторожности.
Возбуждение дел об административных правонарушениях по ст. 13.11 с 1 июля 2017 года уполномочены осуществлять должностные лица Роскомнадзора.
Субъектом рассматриваемых правонарушений являются операторы персональных данных, их должностные лица. В роли операторов персональных данных могут выступать граждане, индивидуальные предприниматели, юридические лица, государственные и муниципальные органы. Субъектом правонарушения по ч. 7 ст. 13.11 КоАП РФ являются должностные лица государственных и муниципальных органов.
Перечень санкций за нарушения при обработке ПД для должностных лиц и организаций.
|
Часть ст. 13.11 КоАП РФ |
Нарушение |
Санкции |
|
1 |
а) обработка ПД в случаях, не предусмотренных Законом о ПД (например, без согласия на их обработку); б) обработка ПД в целях, несовместимых с заявленными (например, рассылка спама получателям интернет-услуг по указанному при регистрации адресу) |
Предупреждение или штраф: – должностному лицу – от 5 тыс. до 10 тыс. руб.; – организации – от 30 тыс. до 50 тыс. руб. |
|
2 |
а) обработка ПД без письменного согласия лица, когда такое согласие необходимо (например, при внесении в информационную базу сведений о здоровье пациента); б) нарушение требований закона к составу сведений, которые нужно включить в согласие субъекта на обработку ПД (например, информирование о третьих лицах, которым открыт доступ к ПД) |
Штраф: – должностному лицу – от 10 тыс. до 20 тыс. руб.; – организации – от 15 тыс. до 75 тыс. руб. |
|
3 |
Невыполнение требования об обеспечении неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите ПД (например, отсутствие документов на официальном сайте) |
Предупреждение или штраф: – должностному лицу – от 3 тыс. до 6 тыс. руб.; – организации – от 15 тыс. до 30 тыс. руб. |
|
4 |
Непредоставление субъекту информации, касающейся обработки его ПД |
Предупреждение или штраф: – гражданам – от 1 тыс. до 2 тыс. руб.; – должностному лицу – от 4 тыс. до 6 тыс. руб.; – предпринимателю – от 10 тыс. до 15 тыс. руб.; – организации – от 20 тыс. до 40 тыс. руб. |
|
5 |
Невыполнение в срок требования об уточнении ПД, их блокировании или уничтожении |
Предупреждение или штраф: – должностному лицу – от 4 тыс. до 10 тыс. руб.; – организации – от 25 тыс. до 45 тыс. руб. |
|
6 |
Необеспечение условий, необходимых, чтобы: – сохранить ПД при хранении материальных носителей; – исключить несанкционированный доступ к ним |
Штраф: – должностному лицу – от 4 тыс. до 10 тыс. руб.; – организации – от 25 тыс. до 50 тыс. руб. |
|
7 |
Невыполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных |
Предупреждение или штраф должностному лицу – от 3 тыс. до 6 тыс. руб. |
Ответственность за нарушения по персональным данным
Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ).
До 1 июля 2017 года размеры штрафов за нарушение закона о персональных данных составляют:
- для юридических лиц – от 5 тыс. до 10 тыс. руб.;
- для должностных лиц – от 500 до 1 тыс. руб.
Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.
|
Вид нарушения |
Размер штрафа |
|
|
для юридических лиц |
для должностных лиц |
|
| Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. | От 30 тыс. до 50 тыс. руб. | От 5 тыс. до 10 тыс. руб. |
| Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
| Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
| Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных | От 15 тыс. до 50 тыс. руб. | От 3 тыс. до 10 тыс. руб. |
Ситуации из практики: что изменится с 1 июля
Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение – от 15 000 до 75 000 руб., на должностное лицо – от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).
Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.
Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Наказание за разглашение персональных данных
Наказание по ст. 137 УК РФ варьируется от штрафа до лишения свободы. Совершение ничем не отягченного преступления (ч. 1 ст. 137 УК РФ) грозит одним из следующих наказаний:
- штрафом в размере до 200 000 руб. (как вариант, в размере полуторагодовой зарплаты виновного);
- обязательными или исправительными работами на срок до 360 часов или до 1 года соответственно;
- до 4 месяцев ареста;
- до 2 лет лишения свободы.
Для лиц, допустивших разглашение конфиденциальных сведений о личности в связи со своим служебным положением, наказание будет строже:
- минимальный размер штрафа в этом случае составит 100 000 руб., максимальный — 300 000 руб.;
- обязательные работы в ч. 2 ст. 137 не предусмотрены, а срок принудительных увеличен до 4 лет;
- продолжительность ареста продлена до 5 месяцев, срока лишения свободы — до 5 лет.
Самые суровые последствия ждут виновных в разглашении данных о несовершеннолетних:
- согласно ч. 3 ст. 137 УК РФ им придется заплатить от 150 000 до 350 000 руб. штрафа либо принудительно отработать до 6 лет;
- в качестве альтернативы возможен арест на срок до полугода или до 6 лет тюрьмы.
§ 1. Применение административной ответственности
Проблема применения мер ответственности за нарушение законодательства о защите персональных данных является новой как для юридической науки, так и для правоприменительной практики. Комплексные исследования на эту тему пока не проводились. Правоприменительная практика пока невелика. В то же время сегодня эта проблема, как никогда, актуальна. Закон эффективен лишь в том случае, если в нем заложен оптимальный механизм его реализации. Одним из самых главных элементов механизма реализации закона является институт юридической ответственности. В связи с этим всесторонняя разработка проблемы юридической ответственности в сфере оборота и защиты персональных данных имеет огромное значение. Только будучи подкрепленными соответствующими мерами ответственности могут быть достигнуты те цели, которые законодатель предусмотрел в Законе о персональных данных. Это тем более важно, если принять во внимание особенности менталитета российского общества. Отсутствие укоренившихся традиций уважения к приватности частной жизни, к строгому соблюдению норм закона создает серьезные трудности в его реализации.
Правосознание большей части российского общества формировалось под влиянием советской идеологии, которая провозглашала приоритет коллективных интересов над личными. Поэтому в настоящее время отсутствие привычки охранять собственную частную жизнь от неправомерного вмешательства является благоприятной почвой для деятельности разного рода мошенников, незаконно пользующихся персональными данными для рекламных и прочих целей. В таких условиях последовательная политика по применению мер юридической ответственности за соответствующие правонарушения является насущной необходимостью.
В рамках настоящей главы будет предпринята попытка систематизировать соответствующие составы правонарушений по правовым отраслям, указать на проблемы совершенствования законодательства об ответственности, осветить некоторые теоретические и практические вопросы, могущие возникнуть при применении тех или иных санкций за нарушение законодательства о защите персональных данных в свете принятого недавно Закона о персональных данных.
Следует отметить, что отдельные нормы, устанавливающие меры ответственности за нарушение правил обработки персональных данных, существовали и до принятия этого Закона. Однако из-за того, что институт персональных данных находился в стадии формирования, санкции практически не применялись.
В настоящее время существует необходимость в разработке целого комплекса мер ответственности, применяемых за правонарушения, предметом которых непосредственно выступают персональные данные личности, и включения их в соответствующие кодексы.
Сначала коснемся некоторых общих вопросов, связанных с проблемой юридической ответственности как таковой.
В праве неправомерные действия (бездействие), являющиеся правонарушениями, влекут наступление юридической ответственности, в рамках которой на виновное лицо возлагается обязанность претерпеть неблагоприятные последствия. В большинстве случаев ответственность наступает в случае виновного нарушения норм. Вина, т.е. психическое отношение лица к своему противоправному поведению (действию или бездействию) и его последствиям, является субъективной стороной состава любого правонарушения (дисциплинарного, административного, гражданско-правового, уголовного) и (чаще всего) условием юридической ответственности. Вина может проявляться в форме умысла (прямого или косвенного) и неосторожности (самонадеянности или небрежности).
Обратимся теперь к краткому анализу понятия «санкция». Как справедливо отмечается в специальной литературе, оно имеет несколько значений. В одном случае — это утверждение, разрешение, в другом — одобрение. В юридических словарях понятие санкции раскрывается в связи с учением о правовой норме. Санкция определяется как часть нормы права, указывающая либо на те меры государственного принуждения, которые применяются к нарушителям диспозиции данной нормы, либо на те последствия, которые должны наступить для лиц, нарушивших предписания данной нормы .
———————————
См.: Энциклопедический словарь правовых знаний. М. 1964. С. 259.
Важным является вопрос о соотношении понятий санкции и государственного принуждения. Охрана правопорядка предполагает осуществление многих принудительных мер, которые, однако, далеко не всегда связаны с применением санкций. Право содержит целый ряд принудительных мер (задержание, арест имущества, досмотр, применение средств физического воздействия), которые хотя и применяются в связи с правонарушениями, однако санкциями правовых норм не являются. Речь идет о принудительных мерах, получивших в теории права название мер пресечения. Основанием для применения этих мер, как и для применения санкций, является правонарушение. Вместе с тем эти меры преследуют обеспечительные, вспомогательные цели и направлены либо на пресечение правонарушения, либо на обеспечение рассмотрения обстоятельств дела. Санкция же представляет собой «последнюю инстанцию» в борьбе с правонарушением. В результате ее применения государство в соответствии со степенью общественной опасности и вредности правонарушения либо карает правонарушителя, либо принуждает его выполнить соответствующую правовую обязанность или устранить причиненный вред . Именно в этом смысле используется термин «санкция» в данной работе.
———————————
Веремеенко И.И. Административно-правовые санкции. М. 1975.
В Законе о персональных данных статья об ответственности сформулирована лаконично: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность» (ст. 24). Поскольку указанная норма является отсылочной, то установление конкретных видов правонарушений и применение соответствующих мер ответственности должно регулироваться иными нормативными актами.
В настоящее время меры ответственности за нарушение законодательства о защите персональных данных «разбросаны» по различным отраслям законодательства — административному, уголовному, гражданскому, трудовому. Причем ни в одной отрасли они пока не систематизированы должным образом, не выделены в отдельную группу как правонарушения, посягающие на конкретный вид общественных отношений. Однако, по всей видимости, в ближайшем будущем потребуется как совершенствование и систематизация уже существующих составов, так и разработка новых.
Интересно отметить, что во многих европейских странах демонстрируется иной подход к установлению мер ответственности за нарушения законодательства о защите персональных данных. Так, в соответствующих законах Дании, Испании и Швеции вопросы применения мер ответственности урегулированы этими законами, содержащими перечни составов правонарушений и соответствующие виды санкций . В России же традиционно нормы об ответственности содержатся в другом нормативном акте.
———————————
См.: Защита персональных данных. Опыт правового регулирования. М. 2001.
Меры административной ответственности за нарушения законодательства в сфере персональных данных содержатся в КоАП РФ.
В соответствии со ст. 2.1 КоАП административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое Кодексом или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность.
Сразу отметим, что поскольку в соответствии с п. «к» ст. 72 Конституции РФ административно-правовые отношения относятся к сфере совместного ведения, то субъекты РФ вправе издавать законы, содержащие дополнительные к федеральным составы административных правонарушений, т.е. субъекты РФ вправе устанавливать специальные меры ответственности за нарушения законодательства о персональных данных.
Чего следует опасаться гражданину
Утечка информации может привести к, мягко говоря, неприятным последствиям:
- огласка посторонним лицам частных (приватных) фактов из жизни человека, которые компрометируют личность, влияют на репутацию, прочее;
- угроза разглашения определенных обстоятельств заинтересованным в этом лицам, от которых гражданин скрывает информацию (шантаж);
- различные мошеннические действия, направленные на завладение имуществом, деньгами;
- незаконный доступ к банковским карточкам, счетам с целью хищения финансов;
- хулиганские действия, наиболее часто распространены в Интернет-среде, например, передача данных для рекламных рассылок;
- попытки переложить ответственность за неправомерные действия злоумышленником, путем создания видимости причастности к такой деятельности гражданина;
- получение на имя человека кредитов, займов;
- открытие на гражданина фирм-однодневок;
- ухудшение социального статуса, что может понизить авторитетность как потребителя, например, как потенциального заемщика.
Необходимо выполнить все рекомендации, что бы у Роскомнадзора не было оснований привлечь кооператив к ответственности по новым составам правонарушений. Не стоит ждать, что повышение штрафов, кардинальным образом изменит отношение к обработке и защите ПДн. Но это заставит КПК и коммерческие организации более внимательно относится к вопросам обработке ПДн. Повышение штрафов, приведет к увеличению количества проверок со стороны РКН, новые составы правонарушений увеличат количество организаций попавших под административную ответственность.
Популярную статью 19.7 КоАП РФ о привлечении юридических лиц к ответственности за не предоставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор) , таких сведений (информации) в неполном объеме или в искаженном виде (штраф — 3-5 тысяч рублей) сменит статья 13.11 КоАП РФ с семью составами правонарушений и вполне внушительными штрафами от 15 до 75 тысяч рублей.
Что такое «персональная информация»?
С 8 июля 2006 года в ФЗ был опубликован отредактированный документ о такого рода данных, где предоставлены актуальные определения правового акта, его структурное взаимодействие с другими законами. Последняя редакция его была проведена в 2017 году, начинался с общих положений, описывал условия возможной обработки информации, права граждан, обязанности операторов, надзор госструктур.
Передача третьим лицам персональных данных – что под этим подразумевается? Это любые сведения, напрямую или косвенно относящиеся к субъекту. Разглашение информации должно соответствовать определенным принципам, чтобы избежать возможных взысканий:
- следование целевому назначению, допускаемому законом;
- справедливость и законность сбора данных;
- исключение объединения целей и назначений при использовании информационных баз;
- направленный сбор сведений, недопустимость их избыточности;
- актуальность информирования;
- допустимый период хранения, после чего данные обезличиваются и удаляются.
Разглашение персональных данных. Объект и предмет преступления
Уголовно наказуемое разглашение ПД посягает на отношения по обеспечению гарантированного конституцией РФ права на неприкосновенность частной жизни.
При этом разглашение ПД наказуемо по ч. 1 и 2 ст. 137 УК РФ лишь при условии, что эти данные соответствуют описанию предмета преступления, а именно:
- являются сведениями о частной жизни;
- относятся к семейной или личной тайне.
Определение понятия «частная жизнь» можно найти в судебной практике, согласно которой частной жизнью (в противовес общественной) признается жизнедеятельность индивида в сфере межличностных, семейных, интимных, бытовых отношений, неподконтрольных государству и обществу (определение КС РФ от 9.06.2005 № 248-О). Кроме того, в целях гражданско-правовой охраны частной жизни ст. 152.1 ГК РФ определяет, что информацией о ней являются сведения о личной и семейной жизни человека, его месте пребывания/жительства и происхождении.
Понятия «личная тайна» и «семейная тайна» являются оценочными. Наука уголовного права толкует их следующим образом:
- к личной тайне следует относить любой факт биографии лица, который он не желает обнародовать (состояние здоровья, принадлежность к политическим движениям, род деятельности, материальное положение и т. д.);
- семейная тайна отличается от личной по кругу носителей (сведения о внутрисемейных отношениях, образе жизни семьи, бытовых условиях и т. п.).
С 2013 года ст. 137 УК РФ дополнена ч. 3, предусматривающей особый предмет — данные, указывающие на личность потерпевшего по уголовному делу в возрасте до 16 лет, либо описание полученных таким потерпевшим моральных и физических страданий. Данные такого рода также относятся к ПД, так как по ним можно идентифицировать личность.
Все сайты должны опубликовать Политику конфиденциальности
Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:
«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).
Однако не забывайте о возможных исключениях из данного правила.
Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).
Другой комментарий к Ст. 13.11 Кодекса Российской Федерации об Административных Правонарушениях
1. Объектом правонарушения, предусмотренного данной статьей, является порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных).
2. Объективная сторона данного правонарушения состоит в действии или бездействии, нарушающем установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). В соответствии с Федеральным законом от 20 февраля 1995 г. «Об информации, информатизации и защите информации» информация о гражданах (персональные данные) представляют собой сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
В соответствии со ст.14 указанного Закона не допускается сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Кроме того, сбор персональных данных не может быть использован в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено.
Вопросы сбора, хранения, использования и распространения персональных данных конкретного (определенного) характера регулируются также отраслевым законодательством. Так, вопросы сбора, хранения, использования и распространения персональных данных работника подробно регулируются Трудовым кодексом РФ.
3. Субъектами административного правонарушения, предусмотренного данной статьей, могут быть граждане, а также должностные лица и юридические лица.
4. Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной.
Другой комментарий к статье 13.11 Кодекса об Административных Правонарушениях РФ
1. Согласно ч. 1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Порядок сбора, хранения, использования, распространения информации о гражданах (персональных данных) установлен Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации». Согласно ст. 2 данного Федерального закона под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информацией о гражданах (персональными данными) являются сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
2. В соответствии с п. 1 — 3 ст. 11 Федерального закона «Об информации, информатизации и защите информации» перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.
Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан РФ. Ограничение прав граждан РФ на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
При толковании указанных предписаний ст. 11 Федерального закона «Об информации, информатизации и защите информации» следует иметь в виду, что федеральный закон, устанавливающий перечни персональных данных, включаемых в состав информационных ресурсов, а также получаемых и собираемых негосударственными организациями, пока еще не принят Государственной Думой.
Согласно п. 1 ст. 12 Федерального закона от 15 ноября 1997 г. N 143-ФЗ «Об актах гражданского состояния» сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.
Согласно Определению Конституционного Суда РФ от 14 июля 1998 г. N 86-О по делу о проверке конституционности отдельных положений Федерального закона «Об оперативно-розыскной деятельности» по жалобе гражданки И.Г. Черновой персональная информация Федеральным законом «Об информации, информатизации и защите информации» отнесена к сфере конфиденциальной. Она не может быть засекречена от того лица, с которым идентифицируется. В противном случае это будет являться полным отрицанием его права. По судебному решению сбор персональной информации может быть допустим негласно, конспиративно от объекта наблюдения.
3. В соответствии с п. 1, 2 ст. 14 Федерального закона «Об информации, информатизации и защите информации» граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.
Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством РФ.
По смыслу ст. 2 указанного Федерального закона под документированной информацией (документом) понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
4. В соответствии с п. 1 ст. 17 Федерального закона от 8 августа 2001 г. N 128-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации (в том числе и персональных данных), а также деятельность по разработке и (или) производству средств защиты конфиденциальной информации вправе осуществлять только лицензиаты. Согласно Перечню федеральных органов исполнительной власти, осуществляющих лицензирование, утвержденному Постановлением Правительства РФ от 11 февраля 2002 г. N 135, лицензирование деятельности по технической защите конфиденциальной информации отнесено к ведению Гостехкомиссии России. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляется Гостехкомиссией России.
Согласно Положению о лицензировании деятельности по технической защите конфиденциальной информации, утвержденному Постановлением Правительства РФ от 30 апреля 2002 г. N 290 (в ред. Постановления Правительства РФ от 23 сентября 2002 г. N 689), конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством РФ.
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней.
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
— осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальностям «компьютерная безопасность», «комплексное обеспечение информационной безопасности автоматизированных систем» или «информационная безопасность телекоммуникационных систем», либо специалистами, прошедшими переподготовку по вопросам защиты информации;
— соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации;
— использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;
— использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.
Лицензиатами по указанному виду деятельности являются юридические лица и предприниматели.
В соответствии с Положением о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержденным Постановлением Правительства РФ от 27 мая 2002 г. N 348, лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Гостехкомиссия России.