Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Комментарий к Ст. 13.11 КоАП РФ

1. Объектом правонарушения в комментируемой статье являются общественные отношения, связанные с интересами персоны (личности) в информационной сфере. Непосредственный объект — право на персональные данные, имеет комплексную природу и формируется на основе множества международных, федеральных и локальных нормативных актов. Конституция РФ (ст. 23) гарантирует гражданам право на неприкосновенность частной жизни, личную и семейную тайну, ограничивает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 26).

Значительный перечень международных соглашений, к которым Россия присоединилась, также имеют в качестве объекта права и свободы человека и гражданина при обработке его персональных данных (Personal data protection in the European Union European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union (2011/2025(INI)); Directive 95/46/ec of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data). Российское законодательство о персональных данных, представленное в первую очередь Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», постепенно гармонизируется с европейским законодательством. При этом существовавшая ранее плотная связь с информационным и трудовым законодательством постепенно формализуется по европейскому образцу. Значительный объем подзаконных нормативных актов разрабатывается и утверждается Правительством РФ (Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных») и отдельными уполномоченными органами (Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»). Тем не менее основной массив норм должен быть разработан оператором персональных данных. При обработке персональных данных в системах устанавливаются четыре уровня защищенности в зависимости от категории данных и количества субъектов, данные которых содержит система.

Объективная сторона — нарушение порядка включает в себя все деяния (действия и бездействие), установленные федеральным законодательством, ведомственными и локальными нормами, которые не соответствуют правилам (регламенту) обращения с персональными данными.

2. Субъектом данного правонарушения может быть:

— гражданин в возрасте от 16 лет;

— должностное лицо, назначенное приказом (либо решением собственника, учредителями), в круг должностных обязанностей которого входит решение вопросов по осуществлению деятельности по защите информации о гражданах (персональных данных);

— юридическое лицо, которое самостоятельно либо через филиалы, представительства осуществляет деятельность с нарушением, предусмотренным настоящей статьей.

Субъективная сторона — в форме умысла.

Возбуждение дела об административных правонарушениях, связанных с нарушением порядка работы с персональными данными, осуществляется прокурором.

Рассмотрение дела о правонарушении, предусмотренном комментируемой статьей, осуществляется судьей.