Юридическая ответственность за нарушение порядка обработки персональных данных
13 июня 2023 г.
Обработка персональных данных физических лиц строго регламентирована Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «ФЗ № 152-ФЗ»), в соответствии со статьей 24 которого лица, виновные в нарушении правил обработки персональных данных, несут предусмотренную российским законодательством ответственность.
В статье исследуем, кто и какую ответственность несет за нарушение правил обработки персональных данных (далее также – «ПД»), а также рассмотрим конкретные случаи привлечения к ответственности.
Виды ответственности за нарушение правил обработки персональных данных
В зависимости от вида правонарушения ответственность за нарушение правил обработки персональных данных может быть следующая:
- административная;
- уголовная;
- гражданско-правовая;
- материальная;
- дисциплинарная.
Отметим, что субъектами ответственности в некоторых случаях могут быть физические лиц, в том числе должностные лица, а также юридические лица. Рассмотрим подробнее случаи привлечения к каждому из указанных видов ответственности.
Административная ответственность за нарушение правил обработки персональных данных
Административная ответственность является самым распространенным видом ответственности за нарушение правил обработки ПД. Кратко напомним, что административная ответственность – это вид юридической ответственности за совершение противоправного виновного действия (бездействия), при которой виновное лицо претерпевает меры государственного принуждения. Ответственность за такие деяния предусмотрена Кодексом РФ об административных правонарушениях (далее – «КоАП РФ»). К административной ответственности могут привлечь как юридическое лицо, так и его должностных лиц, а также индивидуальных предпринимателей.
Ответственность за нарушение правил обработки персональных данных предусмотрена статьей 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». Отметим, что административная ответственность постоянно ужесточается. Так, в частности, еще в 2017-м году вместо одного состава правонарушения в статью 13.11 было введено семь составов и существенно увеличены размеры штрафов, а в 2021 году выделены в самостоятельные – повторные правонарушения, за которые была установлена повышенная ответственность. В настоящее время в Госдуме на рассмотрении находится законопроект, вновь повышающий размеры штрафов за нарушение работы с персональными данными[1].
Уполномоченным на составление протоколов об административных правонарушениях, предусмотренных статьей 13.11 КоАП РФ, являются должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов (далее по тексту – «Роскомнадзор»), а дела об административных правонарушениях рассматриваются судебными органами.
Рассмотрим подробнее составы правонарушений, предусмотренных указанной статьей:
1. Обработка персональных данных вне предусмотренных законом случаях, либо несовместимых с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ).
Закон о персональных данных определяет принципы и условия обработки персональных данных, в том числе:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям их обработки.
Нарушение указанных принципов и условий влечет за собой риск привлечения к административной ответственности по ч. 1 ст. 13.11 КоАП РФ. Проиллюстрируем применение данной нормы на примере из судебной практики. В одном из дел прокуратурой была проведена проверка деятельности микрофинансовой организации в части обработки персональных данных. В ходе проверки было выявлено, что в анкетах заемщиков содержатся персональных данных начальников заемщиков по месту работы и их сотовые номера. Согласия данных лиц на обработку их персональных данных не получались. В связи с изложенным, суд пришел к выводу, что у микрофинансовой организации отсутствовали правовые основания на осуществление обработки таких персональных данных и привлек к административной ответственности по части 1 статьи 13.11 КоАП РФ с назначением штрафа в размере 30 000 рублей[2].
За обработку избыточных данных или с целями, не соответствующим целям их сбора также могут повлечь за собой административную ответственность. Так, согласно статье 86 ТК РФ допустимые цели обработки в трудовых отношениях:
- обеспечение соблюдения законов и иных нормативных правовых актов;
- содействие работникам в трудоустройстве, получении образования и продвижении по службе; обеспечение личной безопасности работников;
- контроль количества и качества выполняемой работы и обеспечение сохранности имущества.
Обработка персональных данных работников с иными целями запрещена. Если контролирующий орган выявит факт сбора и последующей обработки персональных данных работника с иными целями, привлечет к ответственности по данной норме.
Максимальное наказание в таких случаях для должностных лиц – штраф до 20 000 рублей, для юридических лиц – до 100 000 рублей[3].
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию (ч. 2 ст. 13.11 КоАП РФ).
По общему правилу, обработка персональных данных осуществляется только с согласия субъекта персональных данных, за исключением случаев, предусмотренных статьями 6 и 10 Закона о персональных данных. Требования к содержанию согласия на обработку ПД предусмотрены в статье 9 ФЗ № 152-ФЗ.
Так, например, по данной норме суды привлекают к ответственности за распространение, хранение или иные действия с персональными данными в отсутствие согласия субъекта персональных данных[4] или, если в согласии указаны не все сведения, предусмотренные статьей 9 Закона о персональных данных[5].
Максимальное наказание для должностных лиц – штраф до 40 000 рублей, для юридических лиц – до 150 000 рублей.
3. Невыполнение обязанности по опубликованию Политики по обработке персональных данных (ч. 3 ст. 13.11 КоАП РФ).
Обязанность опубликовать данный документ предусмотрена частью 2 статьи 18.1 Закона о персональных данных. Такие нарушения выявляются, как правило, при проведении прокурорских проверок или в результате жалоб физических лиц. Несоблюдение такого, во многом формального требования, влечет за собой достаточно суровое наказание.
Максимальное наказание для должностных лиц – штраф до 12 000 рублей, для индивидуальных предпринимателей – до 20 000 рублей, для юридических лиц – до 60 000 рублей.
4. Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных (ч. 4 ст.13.11 КоАП РФ).
В силу части 7 статьи 14 ФЗ № 152-ФЗ субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, как-то: факта обработки, оснований, целей и способов обработки, источников получения данных, сведений о лицах, которым поручена обработка и т.п. По общему правилу, запрашиваемые сведения должны быть предоставлены в течение 10-ти рабочих дней с момента получения запроса.
Роскомнадзор получает большое количество обращений граждан об отказах должностных лиц в предоставлении запрашиваемой информации. Хотя, как показывает практика, контролирующий орган в большинстве случаев не усматривает в действиях указанных лиц признаков правонарушения, риск привлечения к ответственности при незаконном отказе существует.
Максимальное наказание для должностных лиц – штраф до 12 000 рублей, для индивидуальных предпринимателей – до 30 000 рублей, для юридических лиц – до 80 000 рублей.
5. Невыполнение законного требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении (ч. 5 ст. 13.11 КоАП РФ).
Статьей 21 Закона о персональных данных на оператора ПД возложены обязанности:
- уточнить персональные данные в случае выявления факта неточности;
- осуществить блокирование персональных данных в случае выявления неправомерной обработки персональных данных;
- при подтверждении неправомерности обработки прекратить неправомерную обработку, а при невозможности обеспечить правомерность – осуществить их уничтожение.
Кроме того, ФЗ № 152-ФЗ предусмотрены случаи прекращения обработки персональных данных при отзыве согласия на их обработку.
Так, в одном из дел хозяйственное общество, являющееся оператором персональных данных, не выполнило требования Роскомнадзора об удалении персональных данных работников на указанных интернет-страницах. Общество признано виновным в совершении административного правонарушения, предусмотренного частью 5 статьи 13.11 КоАП РФ, и подвергнуто административному наказанию в виде штрафа в размере 25 000 рублей[6].
Максимальное наказание для должностных лиц – штраф до 20 000 рублей, для индивидуальных предпринимателей – до 40 000 рублей, для юридических лиц – до 90 000 рублей.
6. Невыполнение при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных, если это повлекло неправомерные действия в отношении персональных данных (доступ, уничтожение, копирование, изменение и иные (ч. 6 ст.13.11 КоАП РФ).
Так, прокуратурой была проведена проверка хозяйственного общества, предоставляющего коммунальные услуги гражданам. В ходе проверки было установлено, что хозяйственное общество заключило агентский договор с управляющей компанией на формирование квитанций за услуги и их доставку до адресатов. При этом доставка квитанций осуществлялась адресатам в неконвертируемом виде, персональные данные адресатов были доступны для обозрения неограниченного числа лиц. Общество было признано виновным в совершении административного правонарушения, предусмотренного частью 6 статьей 13.11 КоАП РФ, назначен штраф в размере 25 000 рублей[7].
Максимальное наказание для должностных лиц – штраф до 20 000 рублей, для индивидуальных предпринимателей – до 40 000 рублей, для юридических лиц – до 100 000 рублей.
7. Невыполнение оператором ПД, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию (ч.7 ст.13.11. КоАП РФ).
Требования и методы по обезличиванию персональных данных установлены приказом Роскомнадзора от 05.09.2013 № 996. Максимальное наказание для должностных лиц – штраф до 12 000 рублей.
8. Невыполнение при сборе персональных данных обязанности по использованию баз данных, находящихся на территории Российской Федерации.
В соответствии с частью 5 статьи 18 Закона о персональных данных при сборе ПД, в том числе посредством «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Так, в одном из дел Роскомнадзором в отношении иностранной организации была проведена проверка соблюдения требований законодательства в области обработки персональных данных. По результатам анализа деятельности было установлено, что иностранная организации осуществляет сбор персональных данных граждан Российской Федерации (при регистрации предоставлялись имя, фамилия, номер телефона, адрес электронной почты), с использованием иностранного сервиса «Speedtest». В результате иностранная организации была признана судом виновной в совершении административного правонарушения, предусмотренного частью 6 статьей 13.11 КоАП РФ, назначен штраф в размере 1 000 000 рублей[8].
Максимальное наказание для должностных лиц – штраф до 200 000 рублей, для юридических лиц и ИП – до 6 000 000 рублей.
Отметим, КоАП РФ содержит нормы, устанавливающие ответственность за нарушение требований по защите персональных данных и нарушения порядка взаимодействия с гражданами и контролирующими органами, как-то:
- Статья 5.39. КоАП РФ «Отказ в предоставлении информации»;
- Статья 13.12. КоАП РФ «Нарушение правил защиты информации»;
- Статья 13.12.1. КоАП РФ «Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации»;
- Статья 19.5 КоАП РФ «Невыполнение в срок законного предписания (постановления, представления, решения)»;
- Статья 19.7 КоАП РФ «Непредставление сведений (информации)».
Установлена ли уголовная ответственность в случае нарушения обработки персональных данных?
Напомним, что уголовная ответственность – один из видов юридической ответственности, основным содержанием которой выступают меры, применяемые государством к лицу в связи с совершением им преступления. Уголовной ответственности подлежат только физические лица (ст. 19 УК РФ).
Специальных норм об ответственности за нарушение правил обработки персональных данных в Уголовном кодексе РФ нет. Однако в действиях нарушителя правоохранительные органы могут усмотреть наличие следующих составов преступлений, предусмотренных УК РФ:
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (статья 137 УК РФ).
Под собиранием сведений понимаются умышленные действия, состоящие в получении этих сведений любым способом, например путем личного наблюдения, прослушивания, опроса других лиц, в том числе с фиксированием информации аудио-, видео-, фотосредствами, копирования документированных сведений, а также путем похищения или иного их приобретения. Распространение сведений заключается в сообщении (разглашении) их одному или нескольким лицам в устной, письменной или иной форме и любым способом, в частности путем передачи или размещения информации в сети «Интернет»[9].
Субъективная сторона предполагает прямой умысел на совершение преступления.
Максимальное наказание по части 1 статьи 137 УК РФ – лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет. Указанная статья содержит также несколько квалифицирующих признаков, как использование служебного положения и или совершение действий в отношении несовершеннолетних, наказываемые более строго.
Отметим, что случаи привлечения к уголовной ответственности по данной норме редки. Вместе с тем, случаи привлечения к уголовной ответственности нам удалось найти. Как было установлено судом, подсудимый С.Э., являясь руководителем ООО «Лечебный Диагностический Центр», дал указания подсудимому С.В.ЛА. на установку камер видеонаблюдения в кабинете врача-гинеколога. Камеры были замаскированы в корпусах охранных датчиков, велась видеозапись приема пациентки без ее согласия. На телефонах подсудимых были установлены приложения, позволяющие в удаленном доступе просматривать и сохранять видео с камер видеонаблюдения, что свидетельствует об умысле подсудимых на совершение преступления. Полученные записи были распространены в сети «Интернет».
Приговором суда С.Э осужден по части 2 ст. 137 УК РФ к 2 годам 6 месяцам лишения свободы и лишению права заниматься деятельностью, связанной со сбором, обработкой персональных данных граждан, на 2 года, С.В.ЛА. – к 2 годам 3 месяцам лишения свободы и лишению права заниматься деятельностью, связанной с установкой и использованием систем технического оборудования, на 2 года. По гражданскому иску потерпевшей с подсудимых взыскана солидарно компенсация морального вреда в размере 200 000 рублей. Отменить приговор в апелляционной и кассационной инстанциях осужденным не удалось[10].
Нередко лицами, в отношении которых проводились оперативно-розыскные мероприятия или уголовное преследование, ставится вопрос о незаконности данных действий, в том числе о незаконном сборе их персональных данных и иной информации о личной жизни. Так, в одном из дел при обжаловании приговора защитник указал, что при проведении оперативно-розыскного мероприятия «Исследование предметов и документов» не было получено согласия на осмотр переписки и иных сведений, содержащихся в телефоне. Телефон содержит сведения, составляющие тайну частной жизни, переписки, телефонных переговоров, персональные данные и ограничение этого права допускается только на основании судебного решения, которое также получено не было. Суд решил, что проведение осмотра электронной памяти телефона с целью получения имеющей значение для уголовного дела информации, не требует вынесения об этом специального судебного решения. В пересмотре приговора отказал[11].
Конституционный Суд РФ по делу с аналогичными обстоятельствами также выразил мнение, что Федеральный закон «Об оперативно-розыскной деятельности» закрепляет возможность проведения оперативно-розыскных мероприятий, в том числе с использованием информационных систем, видео- и аудиозаписи, кино- и фотосъемки, а также других технических и иных средств, не наносящих ущерба жизни и здоровью людей. Их результаты являются не доказательствами, а лишь сведениями об источниках фактов, и могут стать доказательствами только после закрепления их в соответствии с нормами УПК РФ. Соответственно положения закона не могут расцениваться как нарушающие права лица, в отношении которого ведутся оперативно-розыскные мероприятия[12].
Вместе с тем перспективы, на наш взгляд, могут иметь иски о компенсации морального вреда, причиненного незаконным преследованием при признании права гражданина на реабилитацию[13].
2. Неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (статья 140 УК РФ).
Объективная сторона преступления заключается в неправомерном отказе предоставить соответствующую информацию либо в предоставлении неполной или заведомо ложной информации. Субъектом преступления является исключительно должностное лицо. Максимальное наказание – лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.
Отметим, что случаев привлечения к ответственности по статье 140 УК РФ за нарушения работы с персональными данными нами не найдено, однако попытки возбуждения дел по данной норме субъектами персональных данных предпринимаются[14].
3. Неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (статья 272 УК РФ).
Если незаконная обработка персональных данных была сопряжена с неправомерным доступом к охраняемой законом компьютерной информации, и это повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, действия правонарушителя могут быть квалифицированы по статье 272 УК РФ. Наказание по данной статье может достигать 7 лет лишения свободы.
Так в одном из дел М. в период работы главным бухгалтером интерната имела персональный удаленный доступ к базе данных «1С:Предприятие учреждения». М. была уволена за некачественное исполнение своих обязанностей, после чего удалила базу, содержащую персональные данные работников, путем удаленного подключения к сети. Суд признал М. виновной в совершении преступления, предусмотренного частью 1статьи 272 УК РФ, назначено наказание 6 месяцев исправительных работ с удержанием из заработка 10% в доход государства[15].
Гражданско-правовая ответственность в случае нарушения обработки персональных данных
Гражданско-правовая ответственность – это ответственность, которая наступает при неисполнении или ненадлежащем исполнении лицом предусмотренных гражданским правом обязанностей.
Она может выражаться в форме возмещения потерпевшему лицу убытков (материального ущерба и упущенной выгоды) или компенсации морального вреда. При нарушении правил обработки персональных данных, как правило, заявляются требования о компенсации морального вреда. Однако встречаются и иски с требованием о возмещении как морального вреда, так и убытков. Так, гражданином был предъявлен иск к Управлению федеральной службы судебных приставов о возмещении убытков в размере 50000 рублей и морального вреда в размере 50000 рублей. Поводом для подачи иска послужила техническая ошибка, допущенная приставом при заполнении строки о фамилии, имени и отчестве должника, в результате которой должником по исполнительному документу был указан истец вместо иного лица. В результате допущенной ошибки со счетов истца было совершено списание денежных средств в сумме 5932,08 рублей. После устного обращения истца был возврат списанных денежных средств. Решением судом в пользу истца была взыскана упущенная выгода в размере неполученных процентов на списанные денежные средства в размере 237,25 руб., а также компенсация морального вреда – 500 руб., в остальной части иска было отказано[16].
К гражданско-правовой ответственности могут быть привлечены как физические, так и юридические лица. Однако следует иметь ввиду, что в силу статьи 1068 ГК РФ моральный вред, причиненный работником при исполнении трудовых обязанностей, подлежит компенсации работодателем. Обязанность компенсировать моральный вред, причиненный гражданином, выполняющим работу на основании гражданско-правового договора, может быть возложена на лицо, заключившее с гражданином договор, если он действовал по заданию данного юридического лица.
Порядок компенсации морального вреда регламентируется статьи 150, 151 и 1099 – 1101 Гражданского кодекса РФ. Размер компенсации морального вреда определяет суд с учетом степени вины нарушителя и степени страданий морального вреда.
Требования о компенсации морального вреда при нарушении правил обработки персональных данных нередки, но, как правило, суммы компенсации, присуждаемые судами, невелики.
В одном из дел истец заключил договор с организацией на оказание охранных услуг, в рамках которого были предоставлены персональные данные истца. В связи с прекращением лицензии на оказание охранных услуг истец расторг договор и прекратил оплату услуг. Данное обстоятельство послужило основанием для недопуска автомобиля истца на территорию принадлежащего ему земельного участка другой охранной организацией. Истец обратился в суд с требованием признать незаконными действий по передаче его персональных данных и взыскать с ответчиков компенсацию морального вреда по 150 000 рублей с каждого. Решением суда иск был удовлетворен частично, действия по обработке персональных данных признаны незаконными, с ответчиков взыскана компенсация морального вреда в размере 25000 рублей с каждой охранной организации[17].
Отметим, что требования о солидарном взыскании встречаются в судебной практике. Однако при их заявлении необходимо понимать, что вред должен быть причинен в результате совместных действий ответчиков. Так, в одном из дел истец обратился в суд с требованием о признании действий по обработке и разглашению персональных данных незаконными, обязании прекратить обработку персональных данных и взыскании компенсации морального вреда с каждого из ответчиков по 30 000 рублей. Поводом послужило, что один из ответчиков, обрабатывая персональные данные истца в качестве его работодателя, без его письменного согласия истца осуществил их передачу второму ответчику, который в свою очередь предоставил их третьим лицам. Суд удовлетворил иск частично. Ответчиков обязали прекратить неправомерную обработку персональных данных, взыскать с одного – 10 000 рублей, с другого – 5 000 рублей. В солидарном удовлетворении иска было отказано ввиду того, что каждый из ответчиков совершил свои нарушения правил обработки персональных данных, при этом действовал самостоятельно[18].
Материальная и дисциплинарная ответственность при нарушении обработки персональных данных
Порядок наступления материальной и дисциплинарной ответственности определяется Трудовым кодексом РФ.
За нарушение правил обработки персональных данных работодатель может понести материальную ответственность перед своими работниками в виде возмещения причиненного ущерба в полном объеме (ч. 1 ст. 235 ТК РФ).
Работник, ответственности за обработку персональных данных, также может быть привлечен к материальной ответственности, если он нарушил свои обязанности и причинил работодателю своими действиями ущерб. Но взыскать можно только прямой действительный ущерб, под которым понимается реальное уменьшение наличного имущества работодателя или ухудшение его состояния указанного имущества, необходимость для работодателя произвести затраты либо излишние выплаты на приобретение, восстановление имущества либо на возмещение ущерба, причиненного работником третьим лицам (ч. 1 ст. 238 ТК РФ).
В соответствии со статьей 192 Трудового кодекса РФ за совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить дисциплинарные взыскания.
Напомним, что видами дисциплинарных взысканий являются замечание, выговор, увольнение. Так, за разглашение персональных возможно увольнение по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ. При этом согласно разъяснениям Верховного Суда РФ привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей, и они обязались не разглашать такие сведения[19].
В одном из рассматриваемых судом дел, было установлено, что работник, являясь специалистом технической поддержки, используя свой пароль и логин, выгружал данные о клиентах работодателя, содержащих ФИО, паспортные данные, номера телефонов, и передавал их неустановленным лицам. После проведения расследования, подтвердившего данные факты, работник был уволен по подпункту «в» пункту 6 части 1 статьи 81 ТК РФ. Попытка оспорить увольнение не увенчалась успехом. Суд указал, при заключении трудового договора истец был ознакомлен с положением о защите персональных данных и подписал соглашение о неразглашении сведений конфиденциального характера. Факт разглашения персональных данных клиентов общества подтвержден[20].
В другом деле службой безопасности Университета был выявлен факт переписки сотрудников преподавательского состава в мессенджере «WhatsApp», в котором была осуществлена передача персональных данных иностранных студентов. Согласно объяснительной заведующей кафедрой она запрашивала сведения по студентам, желающим выехать из России в связи с эпидемиологической ситуацией по COVID-19. По ее мнению, данная мера была вынужденной в целях оперативной организации выезда и предотвращения штрафов за несвоевременное уведомление миграционной службы. На виновное лицо было наложено дисциплинарное взыскание в виде выговора. Оспорить его в суде не удалось[21].
При наложении дисциплинарного взыскания должны учитываться тяжесть совершенного проступка и обстоятельства, при которых он был совершен. Для этого до применения дисциплинарного взыскания работодатель должен затребовать от работника письменное объяснение. Кроме того, должны быть соблюдены сроки и процедура наложения взыскания.
В другом деле работнику удалось оспорить увольнение при следующих обстоятельствах. Работодателем был установлен факт направления начальником планово-экономического отдела с корпоративного адреса электронной почты на личный писем, содержащих персональные данные других работников, включая ФИО и данные по заработной плате. Как пояснил работник, это было совершено в целях надлежащего исполнения своих должностных обязанностей, в частности, подготовки приказа на персональные надбавки сотрудникам. Суд согласился с выводом работодателя, что действия работника по незаконной передаче персональных данных могли являться основанием для привлечения истца к дисциплинарной ответственности, однако не в виде увольнения. Работодатель не учел предшествующее поведение работника, его отношение к труду, а также имел ли поступок какие-либо негативные последствия[22].
Подводя итоги, отметим, что ответственность за нарушение правил работы с персональными данными постоянно ужесточается, а сфера контроля – расширяется. Работа с персональными данными уже вышла за пределы только оформления согласий на обработку. Для минимизации рисков привлечения к ответственности необходимо наладить работу по защите персональных данных, разработать и регулярно актуализировать документы, описывающие порядок работы с персональными данными, осуществлять организационные и технические меры по защите обрабатываемой информации.
_____________________
[1] Проект Федерального закона № 353266-8.
[2] Постановление Седьмого кассационного суда общей юрисдикции от 02.12.2020 № 16-4079/2020.
[3] Здесь и далее за повторное нарушение ответственность предусмотрена другой частью статьи 13.11 КоАП РФ и превышает указанные размеры.
[4] Постановление Четвертого кассационного суда общей юрисдикции от 16.02.2023 по делу № П16-280/2023.
[5] Постановление Шестого кассационного суда общей юрисдикции от 01.08.2022 № 16-4776/2022.
[6] Постановление Второго кассационного суда общей юрисдикции от 30.11.2021 № 16-9529/2021.
[7] Постановление Второго кассационного суда общей юрисдикции от 02.06.2020 по делу № 16-3231/2020.
[8] Постановление Второго кассационного суда общей юрисдикции от 26.12.2022 по делу № 16-9987/2022.
[9] Постановление Пленума Верховного Суда РФ от 25.12.2018 № 46 «О некоторых вопросах судебной практики по делам о преступлениях против конституционных прав и свобод человека и гражданина (статьи 137, 138, 138.1, 139, 144.1, 145, 145.1 Уголовного кодекса Российской Федерации»).
[10] Постановление Пятого кассационного суда общей юрисдикции от 04.05.2023 № 77-496/2023.
[11] Кассационное определение Судебной коллегии по уголовным делам Верховного Суда Российской Федерации от 10.02.2022 № 45-УД22-3-А2.
[12] Определение Конституционного Суда РФ от 21.07.2022 № 2061-О «Об отказе в принятии к рассмотрению жалобы гражданина Костыгова Дмитрия Викторовича на нарушение его конституционных прав статьями 6, 7 и частью первой статьи 15 Федерального закона «Об оперативно-розыскной деятельности».
[13] Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 05.03.2019 № 78-КГ18-82.
[14] Определение первого кассационного суда общей юрисдикции от 11.06.2020№ 88-16721/2020.
[15] Постановление Второго кассационного суда общей юрисдикции от 18.05.2022 № 77-1553/2022, определение первого кассационного суда общей юрисдикции от 11.06.2020№ 88-16721/2020.
[16] Определение Второго кассационного суда общей юрисдикции от 22.12.2020 по делу N 88-27270/2020.
[17] Определение Третьего кассационного суда общей юрисдикции от 26.02.2020 № 88-2978/2020.
[18] Решение Звенигородского городского суда Московской области от 15.11.2021 N 2-663/2021.
[19] Пункт 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами РФ Трудового кодекса РФ».
[20] Апелляционное определение Московского городского суда от 02.10.2019 по делу № 33-43038/2019.
[21] Определение Четвертого кассационного суда общей юрисдикции от 25.02.2021 по делу № 88-4366/2021.
[22] Определение Третьего кассационного суда общей юрисдикции от 20.04.2022 по делу № 88-6000/2022.
13 июня 2023 г.