В очередной раз ужесточают ответственность за безопасность персональных данных. С 1 июля 2017 года будет действовать новая редакция статьи 13.11 Кодекса Российской Федерации об административных правонарушениях. Список нарушений стал более детализированным, а размеры штрафов значительно выросли - до 50 тыс. руб.
В соответствии с ч.1 ст.19 Федерального закона от 27.07.2006 N152-ФЗ "О персональных данных" оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
За нарушение мер по обеспечению безопасности персональных данных с 1 июля 2017 года предусмотрена административная ответственность:
- Не опубликованы или не обеспечены иным образом неограниченный доступ к следующим сведениям о реализуемых требованиях к защите персональных данных (ч.3 ст.13.11 КоАП РФ):
- Акт оценки эффективности принимаемых мер по обеспечению безопасности персональных данных. Отсутствие акта приводит к нарушению п.4 ч.2 ст.19 Федерального закона "О персональных данных" и п.6 Состава и содержания мер, утв. приказом ФСТЭК России N21. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года;
- Акт контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. Отсутствие акта приводит к нарушению п.9 ч.2 ст.19 Федерального закона "О персональных данных" и п.17 Требований, утв. постановлением Правительства РФ от 01.11.2012 N1119. Контроль организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
- Не обеспечена сохранность носителей персональных данных (машинных носителей) (ч.6 ст.13.11 КоАП РФ). Для обеспечения уровней защищенности персональных данных при их обработке в информационных системах необходимо обеспечить сохранность носителей персональных данных (машинные носители). Не обеспечение сохранности носителей приводит к нарушению п.5 ч.2 ст.19 Федерального закона "О персональных данных" и п.п. «б» п.13 Требований, утв. постановлением Правительства РФ от 01.11.2012 № 1119.
Часть 3 статьи 13.11 КоАП РФ, невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа:
- на граждан в размере от 700 до 1,5 тыс.руб.;
- на должностных лиц - от 3 тыс. до 6 тыс.руб.;
- на индивидуальных предпринимателей - от 5 тыс. до 10 тыс.руб.;
- на юридических лиц - от 15 тыс. до 30 тыс.руб.
Часть 6 статьи 13.11 КоАП РФ, невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния - влечет наложение административного штрафа:
- на граждан в размере от 700 до 2 тыс.руб.;
- на должностных лиц - от 4 тыс. до 10 тыс.руб.;
- на индивидуальных предпринимателей - от 10 тыс. до 20 тыс.руб.;
- на юридических лиц - от 25 тыс. до 50 тыс.руб.
Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – 3 (три) месяца со дня нарушения (ч.1 ст.4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п.58 ч.2 ст.28.3 КоАП РФ).