Штраф за использование персональных данных без согласия

04/04/25

Б-152

Штраф за использование персональных данных без согласия

Обработка персональных данных без согласия субъекта грозит серьезными штрафами, дисциплинарной и даже уголовной ответственностью. Однако закон предусматривает исключения — в ряде случаев обработка ПДн возможна без согласия пользователя. Разберем, какие виды ответственности грозят за нарушение правил обработки персональных данных, а также к каким последствиям может привести их незаконное использование.

Согласно 152-ФЗ, субъект персональных данных сам принимает решение, предоставлять ли согласие на обработку и использование своих личных сведений третьим лицам. Оформляют согласие либо в письменном формате, либо в электронном ― при передаче информации через интернет.

Личные сведения могут понадобиться в самых разных ситуациях: при прохождении медосмотра, трудоустройстве или покупке в интернет-магазине.

Важно помнить, что с 1 сентября 2022 года действует норма, запрещающая продавцам товаров и услуг отказывать клиентам в обслуживании только на основании их отказа предоставить персональные данные.

Сторона, получающая информацию, становится оператором персональных данных и обязана:

• получить согласие владельца на обработку личных сведений;
• позаботиться о конфиденциальности и защите данных;
• сохранить документ, который подтверждает, что владелец разрешил обрабатывать персональные данные.

Если перечисленные требования нарушены ― оператор понесет серьезную ответственность за обработку персональных данных с нарушениями и без согласия их владельца.

В ч.1 статьи 6 152-ФЗ указано, что использование персональных данных без согласия владельца ― это серьезное нарушение законодательства, в результате которого оператора привлекают к ответственности ― дисциплинарной, административной и уголовной.

Дисциплинарная ответственность наступает, если сотрудник нарушает правила обработки персональных данных. В этом случае работодатель может объявить ему выговор или снизить премию. Однако такое наказание возможно только при наличии соответствующих положений в локальных нормативных актах или коллективном договоре.

Административная ответственность ― это непосредственно штраф за использование персональных данных без согласия владельца. Суммы штрафов зависят от статуса нарушителя ― они указаны в таблице:

К уголовному наказанию прибегают, если обработка персональных данных осуществлялась незаконно и без согласия пользователя, и собранные сведения касаются личной жизни человека, в том числе семейной или личной тайны. Кроме того, в УК РФ указано, что ответственность за использование персональных данных без согласия владельца наступает при неправомерном доступе к компьютерной информации, которая содержит такие сведения. Право владельца ПДн ― затребовать от нарушителя возмещения морального вреда. За соблюдением требований законодательства в данном случае следит Роскомнадзор.

Повторное нарушение — от 500 тыс. до 1 млн рублей

300-700 тысяч рублей

Повторное нарушение — от 1 млн до 1,5 млн рублей

Обработка персональных данных без письменного согласия

100-300 тысяч рублей

Повторное нарушение — 300-500 тысяч рублей

10-15 тысяч рублей

Повторное нарушение — 15-30 тысяч рублей

Размер штрафа

Гражданин

Должностное лицо

Компания

ИП

Вид нарушения

Правила работы с персональными данными регламентированы 152-ФЗ, а операторы ПДн обязаны обеспечивать их конфиденциальность и предотвращать утечки. Чтобы избежать штрафов, необходимо правильно организовать процесс обработки данных. В статье 18.1 152-ФЗ указаны основные требования, которые должен соблюдать оператор:

1. Компания обязана утвердить документы, регламентирующие работу с ПДн. Отсутствие таких документов грозит штрафами как для должностных лиц, так и для организации или ИП. В ЛНА необходимо прописать:

• правила обработки, хранения и использования ПДн;
• перечень ответственных сотрудников, имеющих доступ к данным;
• список документов, содержащих персональные данные;
• порядок передачи сведений внутри компании и третьим лицам;
• меры дисциплинарной ответственности за нарушение правил.

2. Работодатель должен назначить сотрудника, отвечающего за организацию всех процессов обработки данных. Он определяет, кто может получить доступ к ПДн, и контролирует соблюдение требований безопасности. Доступ к данным должен быть ограничен, а все сотрудники, работающие с ПДн, обязаны подписать соглашение о неразглашении.
3. Оператор обязан разрабатывать формы согласия на обработку данных, соответствующие требованиям 152-ФЗ. Только после получения согласия можно собирать и использовать персональные сведения.
4. Направить в Роскомнадзор уведомление о том, что оператор намерен обрабатывать персональные данные сотрудников или клиентов.

Также важно позаботиться о правильном хранении и защите персданных.

Как хранить информацию ― зависит от того, каким способом она обрабатывается. Например, если используются автоматизированные способы ― следует соблюдать требования Приказа ФСТЭК №21 от 18.02.2013 года. То есть периодически изменять пароли, ограничить доступ к базам данных. При ручной обработке, когда ПДн хранятся на бумажных носителях, следует позаботиться о правильной организации мест для хранения информации, а также оборудования помещения системами сигнализации и видеонаблюдения.

Владельцы сайтов, например, интернет-магазинов, тоже не вправе собирать данные пользователей без их согласия. Даем краткий чек-лист, что нужно сделать:

• Получите согласие на обработку ПДн и укажите цели, для которых планируете использовать личные сведения.
• Составьте форму согласия ― не забудьте свериться с требованиями законодательства.
• Если цели обработки изменились ― получите от клиентов новое согласие на обработку ПДн.
• Если цели обработки достигнуты ― прекратите обрабатывать информацию и уничтожьте ее, если договором не предусмотрено других правил, которые разрешают длительное хранение сведений.
• Опубликуйте на сайте «Политику обработки персональных данных». Закрепите в документе основные положения обработки ПДн в вашей компании. Сделайте его доступным для просмотра с любой страницы сайта.
• Отправьте уведомление в Роскомнадзор в установленные сроки ― если собираетесь обрабатывать ПДн.
• Отвечайте субъектам персональных данных, которые подают запросы о наличии их личных сведений в вашей компании, в течение 30 дней с даты поступления запроса.
• Если субъект просит изменить или удалить персональные данные ― выполните требование в течение 7 дней. Если запрос поступил со стороны государственных органов ― ответьте на него в течение 30 дней.

Перечисленные требования должны соблюдать и крупные компании, и субъекты МСП. Роскомнадзор уделяет пристальное внимание обработке персональных данных и постоянно проверяет сайты. По результатам осмотров сайтов ведомство может направить уведомление об устранении нарушений или запрос о предоставлении определенной информации. Прежде всего, проверяющие смотрят наличие политики обработки ПДн и согласие на сбор личной информации, поэтому опубликуйте данные документы первоочередно.

Ответственность предусмотрена не только за обработку ПДн без согласия пользователя, но и за другие виды нарушений. Например:

• За утечку личных сведений. С мая 2025 года действуют новые штрафы за утечку ПДн. Их размер зависит от дохода организации за определенный период. Утечка ― это передача, предоставление, распространение или открытие доступа к информации третьим лицам. В таблице ― точные суммы:

• За утечку биометрических данных ― голосовых записей, снимков лица, отпечатков пальцев. Для физических лиц размер штрафа ― 400-500 тысяч рублей, для должностных ― 1,3-1,5 миллионов рублей, для ИП и организаций ― 15-20 миллионов рублей. Если нарушение сделано повторно ― минимальная сумма штрафа составляет 25 миллионов рублей, максимальная ― 500 миллионов рублей.
• За несоблюдение требований по подаче уведомлений в Роскомнадзор. Для физических лиц размер штрафа ― 5-10 тысяч рублей, для должностных ― 30-50 тысяч рублей, для ИП и организаций ― 100-300 тысяч рублей.
• За неподачу уведомления о факте утечки ПДн в течение 24 часов. Для физических лиц размер штрафа ― 50-100 тысяч рублей, для должностных ― 400-800 тысяч рублей, для ИП и организаций ― 1-3 миллионов рублей.
• За незаконную обработку ПДн оператору грозит либо штраф до 300 тысяч рублей, либо принудительные работы сроком до 4-х лет, либо лишение свободы на аналогичный период.

Также нужно учесть, что если полученные незаконным путем сведения касаются несовершеннолетних либо содержат биометрию, штраф увеличивается до 700 тысяч рублей, а срок лишения свободы ― до 5 лет. При незаконной передаче данных за границу предусмотрено максимальное наказание ― 8 лет лишения свободы и штраф до 2 миллионов рублей.

Перечисленные меры направлены на то, чтобы усилить защиту ПДн и снизить риск их несанкционированного использования

Штраф будет зависеть от годовой выручки компании и может достигать 3% от дохода ― минимум 20 млн рублей и максимум 500 млн рублей

3-5 миллионов рублей

1-10 тысяч человек

200-400 тысяч рублей

100-200 тысяч рублей

200-300 тысяч рублей

300-500 тысяч рублей

10-100 тысяч человек

5-10 миллионов рублей

10-15 миллионов рублей

Более 100 тысяч человек

400-600 тысяч рублей

300-400 тысяч рублей

Физические лица

Должностные лица

ИП и юрлица

Штраф за нарушение, сделанное повторно

Количество человек, которых затронула утечка данных

В ч.1 статьи 6 ФЗ-152 указано, что штраф за обработку персональных данных без согласия не предусмотрен в ряде случаев:

• Владелец персональных данных ― участник процесса в суде.
• Государственные органы могут обрабатывать персональные данные при предоставлении государственных и муниципальных услуг. Например, при регистрации на Госуслугах.
• Если персональные данные необходимы для исполнения договора, в котором владелец данных выступает поручителем, выгодоприобретателем или действует от своего имени, согласие не требуется. Однако договор не должен ограничивать права и свободы владельца данных или обязывать его к бездействию.
• Если в ситуации требуются немедленные действия, которые необходимы для того, чтобы сохранить жизнь или здоровье человека, а получить от него согласие невозможно. Это может касаться случаев, когда он не может отвечать за свои действия, так как находится в коме или бессознательном состоянии.
• Собранные личные сведения будут использовать для проведения статистических и прочих обезличенных исследований.
• Ранее владелец персданных самостоятельно сделал личную информацию доступной для неограниченного числа третьих лиц.
• Если персональные данные обрабатываются в интересах журналистики, науки, литературы или искусства, согласие владельца не требуется, при условии, что не нарушаются его права и законные интересы.

Таким образом, обработка персональных данных без согласия в большинстве случаев является нарушением законодательства. Однако существуют исключения, предусмотренные законом, когда штрафы за такую обработку не грозят.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме