Нарушителям — тюрьма: вступил в силу закон о персональных данных россиян

Сегодня начинает действовать нашумевший закон о персональных данных, получивший еще одно название — закон о переносе серверов. «Новый Калининград.Ru» разобрался в том, что он меняет для владельцев сайтов и их пользователей, а также узнал, какое наказание могут понести виновные и с помощью каких статей защищаться пострадавшим.

Итак, если сайт не собирает никакие персональные данные посетителей, а только знакомит их с информацией, то его не касается новый закон. Однако если он предлагает им подписаться на рассылку по электронной почте или зарегистрироваться для того, чтобы оставить комментарий, то его владельцы считаются операторами персональных данных и должны обеспечить их обработку на территории России. Нарушителей ждет включение в черный список Роскомнадзора, а также другие виды ответственности вплоть до уголовной.

Предполагается, что владельцы сайтов организуют обработку данных в стране. Также допускается копирование персональных данных на сервер в РФ. Те, кто не предпримет никаких действий, гарантированно попадают в список нарушителей.

В пункте 1 статьи 3 Федерального закона N 152-ФЗ «О персональных данных» говорится о том, что персональные данные — это любая информация, которая прямо или косвенно относится к человеку. Широко распространено заблуждение, что если данные не позволяют идентифицировать личность в сети, то они не персональные и не попадают под новый закон. Но если исходить из определения закона, то физического лица касаются любые данные о нем. Например, многие сайты предлагают рассылки, для которых надо указать имя или псевдоним и электронную почту. И даже эти данные «относятся прямо или косвенно к определенному лицу».

Этот же закон дает определение оператора данных. Им может считаться «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». В связи с этим даже самые простые сайты рассылок и их владельцы могут и, вероятно, будут считаться операторами персональных данных.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети „Интернет“, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации

Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Нюансов, которые могли бы помочь обойти закон, почти нет. Специалисты утверждают, что единственной лазейкой может считаться то, что в документе говорится, что данные должны обрабатываться в РФ, но не оговаривается, что информация может храниться только в России. Таким образом, допустимо хранить копии баз данных на российских серверах, не перенося саму информацию из-за границы. По мнению ряда экспертов, целью закона мог быть доступ к персональным данным в РФ, например при розыске или расследовании, поэтому допущена такая возможность.

Ответственность

В случае неисполнения требований Роскомнадзор может требовать от операторов связи блокировки интернет-ресурсов или сайтов или ограничения доступа к ним. Кроме того, нарушители закона о персональных данных могут понести гражданскую и уголовную ответственность. Причем сразу по нескольким статьям.

Кроме того, предусмотрена ответственность и в Трудовом кодексе. Согласно главе 14 работодатель не может разглашать персональные данные своих сотрудников, которые могут пожаловаться на начальство в судебном порядке. А виновные в разглашениях личной информации о сотрудниках и о клиентах могут получить выговор, замечание или увольнение — в зависимости от тяжести вины.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

	Нарушение	Ответственность
КОДЕКС ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
Статья 5.39. Отказ в предоставлении гражданину информации	Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.	Штраф: для должностных лиц — от 500 до 1000 рублей
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)	Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).	Штраф: для должностных лиц — от 500 до 1000 рублей для юридических лиц — от 5 000 до 10 000 рублей
Статья 13.12. Нарушение правил защиты информации	Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.	Штраф: для должностных лиц — от 1000 до 2000 рублей для юридических лиц — от 10 000 до 20 000 рублей (с конфискацией несертифицированных средств защиты информации или без таковой)
Статья 13.14. Разглашение информации с ограниченным доступом	Разглашение персональных данных.	Штраф: для граждан — от 500 до 1000 рублей для должностных лиц — от 4000 до 5000 рублей.
Статья 19.5. Невыполнение в срок законного предписания	Невыполнение в установленный срок законного предписания Роскомнадзора.	Штраф: для должностных лиц — от 1000 до 2000 рублей; для юридических лиц — от 10 000 до 20 000 рублей.
Статья 19.5. Невыполнение в срок законного предписания	Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.	Штраф: для должностных лиц — от 5000 до 10 000 рублей; для юридических лиц — от 200 000 до 500 000 рублей.
Статья 19.7. Непредставление сведений (информации)	Непредставление Уведомления в Управление Роскомнадзора по области.	Штраф: для должностных лиц — от 300 до 500 рублей; для юридических лиц — от 3000 до 5000 рублей.
Дела об административных правонарушениях возбуждаются прокурором и рассматриваются судом.
УГОЛОВНЫЙ КОДЕКС
Статья 137. Нарушение неприкосновенности частной жизни	Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ.	Штраф до 200 000 рублей, либо обязательные работы от 120 до 180 часов, либо исправительные работы до 1 года, либо арест до 4 месяцев.
Статья 272. Неправомерный доступ к компьютерной информации	Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).	Штраф до 200 000 рублей, либо лишение свободы до 2-х лет.
В случае выявления признаков нарушения неприкосновенности частной жизни субъектов персональных данных материалы направляются в полицию.
ТРУДОВОЙ КОДЕКС
Статья 81 Расторжение трудового договора по инициативе работодателя	Разглашение персональных данных другого работника.	Расторжение трудового договора по инициативе работодателя.
Статья 90 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника	Нарушение норм, регулирующих получение, обработку и защиту персональных данных.	Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.