Штраф за использование персональных данных без согласия

13.01.2023
04/04/25
Б-152
Штраф за использование персональных данных без согласия
Обработка персональных данных без согласия субъекта грозит серьезными штрафами, дисциплинарной и даже уголовной ответственностью. Однако закон предусматривает исключения — в ряде случаев обработка ПДн возможна без согласия пользователя. Разберем, какие виды ответственности грозят за нарушение правил обработки персональных данных, а также к каким последствиям может привести их незаконное использование.

Согласие на обработку ПДн

Согласно 152-ФЗ, субъект персональных данных сам принимает решение, предоставлять ли согласие на обработку и использование своих личных сведений третьим лицам. Оформляют согласие либо в письменном формате, либо в электронном ― при передаче информации через интернет.

Личные сведения могут понадобиться в самых разных ситуациях: при прохождении медосмотра, трудоустройстве или покупке в интернет-магазине.

Важно помнить, что с 1 сентября 2022 года действует норма, запрещающая продавцам товаров и услуг отказывать клиентам в обслуживании только на основании их отказа предоставить персональные данные.

Сторона, получающая информацию, становится оператором персональных данных и обязана:

  • получить согласие владельца на обработку личных сведений;
  • позаботиться о конфиденциальности и защите данных;
  • сохранить документ, который подтверждает, что владелец разрешил обрабатывать персональные данные.

Если перечисленные требования нарушены ― оператор понесет серьезную ответственность за обработку персональных данных с нарушениями и без согласия их владельца.

Ответственность и штраф за использование персональных данных без согласия

В ч.1 статьи 6 152-ФЗ указано, что использование персональных данных без согласия владельца ― это серьезное нарушение законодательства, в результате которого оператора привлекают к ответственности ― дисциплинарной, административной и уголовной.

Дисциплинарная ответственность наступает, если сотрудник нарушает правила обработки персональных данных. В этом случае работодатель может объявить ему выговор или снизить премию. Однако такое наказание возможно только при наличии соответствующих положений в локальных нормативных актах или коллективном договоре.

Административная ответственность ― это непосредственно штраф за использование персональных данных без согласия владельца. Суммы штрафов зависят от статуса нарушителя ― они указаны в таблице:
К уголовному наказанию прибегают, если обработка персональных данных осуществлялась незаконно и без согласия пользователя, и собранные сведения касаются личной жизни человека, в том числе семейной или личной тайны. Кроме того, в УК РФ указано, что ответственность за использование персональных данных без согласия владельца наступает при неправомерном доступе к компьютерной информации, которая содержит такие сведения. Право владельца ПДн ― затребовать от нарушителя возмещения морального вреда. За соблюдением требований законодательства в данном случае следит Роскомнадзор.
Повторное нарушение — от 500 тыс. до 1 млн рублей
300-700 тысяч рублей

Повторное нарушение — от 1 млн до 1,5 млн рублей
Обработка персональных данных без письменного согласия
100-300 тысяч рублей

Повторное нарушение — 300-500 тысяч рублей
10-15 тысяч рублей

Повторное нарушение — 15-30 тысяч рублей
Размер штрафа
Гражданин
Должностное лицо
Компания
ИП
Вид нарушения

Как организовать обработку ПДн, чтобы не получить штрафов

Правила работы с персональными данными регламентированы 152-ФЗ, а операторы ПДн обязаны обеспечивать их конфиденциальность и предотвращать утечки. Чтобы избежать штрафов, необходимо правильно организовать процесс обработки данных. В статье 18.1 152-ФЗ указаны основные требования, которые должен соблюдать оператор:

1. Компания обязана утвердить документы, регламентирующие работу с ПДн. Отсутствие таких документов грозит штрафами как для должностных лиц, так и для организации или ИП. В ЛНА необходимо прописать:

  • правила обработки, хранения и использования ПДн;
  • перечень ответственных сотрудников, имеющих доступ к данным;
  • список документов, содержащих персональные данные;
  • порядок передачи сведений внутри компании и третьим лицам;
  • меры дисциплинарной ответственности за нарушение правил.

2. Работодатель должен назначить сотрудника, отвечающего за организацию всех процессов обработки данных. Он определяет, кто может получить доступ к ПДн, и контролирует соблюдение требований безопасности. Доступ к данным должен быть ограничен, а все сотрудники, работающие с ПДн, обязаны подписать соглашение о неразглашении.
3. Оператор обязан разрабатывать формы согласия на обработку данных, соответствующие требованиям 152-ФЗ. Только после получения согласия можно собирать и использовать персональные сведения.
4. Направить в Роскомнадзор уведомление о том, что оператор намерен обрабатывать персональные данные сотрудников или клиентов.

Также важно позаботиться о правильном хранении и защите персданных.

Как хранить информацию ― зависит от того, каким способом она обрабатывается. Например, если используются автоматизированные способы ― следует соблюдать требования Приказа ФСТЭК №21 от 18.02.2013 года. То есть периодически изменять пароли, ограничить доступ к базам данных. При ручной обработке, когда ПДн хранятся на бумажных носителях, следует позаботиться о правильной организации мест для хранения информации, а также оборудования помещения системами сигнализации и видеонаблюдения.
Владельцы сайтов, например, интернет-магазинов, тоже не вправе собирать данные пользователей без их согласия. Даем краткий чек-лист, что нужно сделать:

  • Получите согласие на обработку ПДн и укажите цели, для которых планируете использовать личные сведения.
  • Составьте форму согласия ― не забудьте свериться с требованиями законодательства.
  • Если цели обработки изменились ― получите от клиентов новое согласие на обработку ПДн.
  • Если цели обработки достигнуты ― прекратите обрабатывать информацию и уничтожьте ее, если договором не предусмотрено других правил, которые разрешают длительное хранение сведений.
  • Опубликуйте на сайте «Политику обработки персональных данных». Закрепите в документе основные положения обработки ПДн в вашей компании. Сделайте его доступным для просмотра с любой страницы сайта.
  • Отправьте уведомление в Роскомнадзор в установленные сроки ― если собираетесь обрабатывать ПДн.
  • Отвечайте субъектам персональных данных, которые подают запросы о наличии их личных сведений в вашей компании, в течение 30 дней с даты поступления запроса.
  • Если субъект просит изменить или удалить персональные данные ― выполните требование в течение 7 дней. Если запрос поступил со стороны государственных органов ― ответьте на него в течение 30 дней.

Перечисленные требования должны соблюдать и крупные компании, и субъекты МСП. Роскомнадзор уделяет пристальное внимание обработке персональных данных и постоянно проверяет сайты. По результатам осмотров сайтов ведомство может направить уведомление об устранении нарушений или запрос о предоставлении определенной информации. Прежде всего, проверяющие смотрят наличие политики обработки ПДн и согласие на сбор личной информации, поэтому опубликуйте данные документы первоочередно.

Что проверить на сайте и как привести его в порядок

Другие виды ответственности за нарушения в сфере обработки персданных

Ответственность предусмотрена не только за обработку ПДн без согласия пользователя, но и за другие виды нарушений. Например:

  • За утечку личных сведений. С мая 2025 года действуют новые штрафы за утечку ПДн. Их размер зависит от дохода организации за определенный период. Утечка ― это передача, предоставление, распространение или открытие доступа к информации третьим лицам. В таблице ― точные суммы:
  • За утечку биометрических данных ― голосовых записей, снимков лица, отпечатков пальцев. Для физических лиц размер штрафа ― 400-500 тысяч рублей, для должностных ― 1,3-1,5 миллионов рублей, для ИП и организаций ― 15-20 миллионов рублей. Если нарушение сделано повторно ― минимальная сумма штрафа составляет 25 миллионов рублей, максимальная ― 500 миллионов рублей.
  • За несоблюдение требований по подаче уведомлений в Роскомнадзор. Для физических лиц размер штрафа ― 5-10 тысяч рублей, для должностных ― 30-50 тысяч рублей, для ИП и организаций ― 100-300 тысяч рублей.
  • За неподачу уведомления о факте утечки ПДн в течение 24 часов. Для физических лиц размер штрафа ― 50-100 тысяч рублей, для должностных ― 400-800 тысяч рублей, для ИП и организаций ― 1-3 миллионов рублей.
  • За незаконную обработку ПДн оператору грозит либо штраф до 300 тысяч рублей, либо принудительные работы сроком до 4-х лет, либо лишение свободы на аналогичный период.

Также нужно учесть, что если полученные незаконным путем сведения касаются несовершеннолетних либо содержат биометрию, штраф увеличивается до 700 тысяч рублей, а срок лишения свободы ― до 5 лет. При незаконной передаче данных за границу предусмотрено максимальное наказание ― 8 лет лишения свободы и штраф до 2 миллионов рублей.

Перечисленные меры направлены на то, чтобы усилить защиту ПДн и снизить риск их несанкционированного использования
Штраф будет зависеть от годовой выручки компании и может достигать 3% от дохода ― минимум 20 млн рублей и максимум 500 млн рублей
3-5 миллионов рублей
1-10 тысяч человек
200-400 тысяч рублей
100-200 тысяч рублей
200-300 тысяч рублей
300-500 тысяч рублей
10-100 тысяч человек
5-10 миллионов рублей
10-15 миллионов рублей
Более 100 тысяч человек
400-600 тысяч рублей
300-400 тысяч рублей
Физические лица
Должностные лица
ИП и юрлица
Штраф за нарушение, сделанное повторно
Количество человек, которых затронула утечка данных

Когда не грозит ответственность за использования персональных данных без согласия пользователя

В ч.1 статьи 6 ФЗ-152 указано, что штраф за обработку персональных данных без согласия не предусмотрен в ряде случаев:

  • Владелец персональных данных ― участник процесса в суде.
  • Государственные органы могут обрабатывать персональные данные при предоставлении государственных и муниципальных услуг. Например, при регистрации на Госуслугах.
  • Если персональные данные необходимы для исполнения договора, в котором владелец данных выступает поручителем, выгодоприобретателем или действует от своего имени, согласие не требуется. Однако договор не должен ограничивать права и свободы владельца данных или обязывать его к бездействию.
  • Если в ситуации требуются немедленные действия, которые необходимы для того, чтобы сохранить жизнь или здоровье человека, а получить от него согласие невозможно. Это может касаться случаев, когда он не может отвечать за свои действия, так как находится в коме или бессознательном состоянии.
  • Собранные личные сведения будут использовать для проведения статистических и прочих обезличенных исследований.
  • Ранее владелец персданных самостоятельно сделал личную информацию доступной для неограниченного числа третьих лиц.
  • Если персональные данные обрабатываются в интересах журналистики, науки, литературы или искусства, согласие владельца не требуется, при условии, что не нарушаются его права и законные интересы.

Таким образом, обработка персональных данных без согласия в большинстве случаев является нарушением законодательства. Однако существуют исключения, предусмотренные законом, когда штрафы за такую обработку не грозят.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме