Штрафы Роскомнадзора за персональные данные: как избежать и что делать, если проверка уже началась?

Персональные данные: почему это важно для вашего бизнеса?

В современном мире информация – это ценный актив. Компании собирают и обрабатывают данные клиентов, партнеров, сотрудников. Однако эти действия строго регулируются законодательством, в первую очередь Федеральным законом № 152-ФЗ "О персональных данных". Его цель – защитить права граждан, и он накладывает на компании (операторов персональных данных) ряд обязанностей.

Несоблюдение этих требований – это не просто формальность. За нарушения предусмотрена административная ответственность, и главный контролирующий орган в этой сфере – Роскомнадзор. Штрафы могут быть весьма ощутимыми, особенно при повторных или множественных нарушениях. Давайте разберемся, как работает механизм привлечения к ответственности.

Кто и за что может оштрафовать: Роскомнадзор и статья 13.11 КоАП РФ

Именно должностные лица Роскомнадзора уполномочены составлять протоколы об административных правонарушениях по основной "профильной" статье – 13.11 КоАП РФ. Эта статья включает в себя несколько частей, охватывающих различные виды нарушений:

• Обработка данных без согласия субъекта (когда оно требуется).
• Обработка данных в целях, несовместимых с целями сбора.
• Отсутствие опубликованной политики обработки персональных данных.
• Невыполнение требований по уточнению, блокированию или уничтожению данных.
• Нарушения при трансграничной передаче данных.
• И другие.

Кроме того, Роскомнадзор может составить протокол и по другим статьям КоАП РФ, если вы, например:

• Не выполнили предписание, выданное по итогам проверки (ч. 1 ст. 19.5 КоАП РФ).
• Не предоставили сведения (информацию) по запросу ведомства (ст. 19.7 КоАП РФ). Обратите внимание: на ответ по запросу обычно дается 10 рабочих дней (ч. 4 ст. 20 ФЗ-152).

Перечень должностных лиц Роскомнадзора, которые могут составлять протоколы, приведен в Приказе Роскомнадзора от 04.02.2014 № 16. Например, в территориальном управлении это могут делать начальники отделов.

Дела по ст. 19.4.1 КоАП РФ (например, если вы не пускаете проверяющих Роскомнадзора к себе в офис во время плановой проверки) возбуждают должностные лица полиции (ч. 2 ст. 28.3 КоАП РФ).

Как Роскомнадзор узнает о нарушениях?

Поводами для начала разбирательства могут стать:

Например, дело могут возбудить, если:

- при проверке у вас были выявлены нарушения требований в сфере персональных данных, вам было выдано предписание об их устранении. Если вы его не исполните в установленный срок, проверяющие могут составить протокол для привлечения вас к ответственности по ч. 1 ст. 19.5 КоАП РФ (за неисполнение предписания);

- вы не ответили на запрос Роскомнадзора. Их право запрашивать у вас информацию и ваша обязанность отвечать в течение 10 рабочих дней (если этот срок не был продлен) с даты получения запроса установлены в п. 1 ч. 3 ст. 23, ч. 4 ст. 20 Закона о персональных данных. В этом случае должностные лица Роскомнадзора могут возбудить дело по ст. 19.7 КоАП РФ.

Важно: Если нарушение выявлено в ходе плановой или внеплановой проверки, то процедура привлечения к ответственности может быть запущена только после оформления акта проверки (примечание к ст. 28.1 КоАП РФ).

Роскомнадзор может возбуждать дела об административных правонарушениях за размещение и обновление банками, МФЦ, другими организациями в определенных федеральными законами случаях биометрических персональных данных субъекта персональных данных в ЕБС с нарушением требований, без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом, в случае поступления от юрлица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения (ст. 13.11.3, п. 1 ч. 3.5 ст. 28.1 КоАП РФ)

Обращения граждан: Жалобы на неправомерную обработку их персональных данных.

Информация от других госорганов, органов местного самоуправления, от общественных объединений: например, от прокуратуры или правоохранительных органов. Эти материалы должны содержать данные, указывающие на наличие события административного правонарушения.

Сообщения в СМИ: Публикации, указывающие на возможное нарушение закона.

Обращения государственных и муниципальных органов, юрлиц, ИП, физлиц, размещение в СМИ и в Интернете информации о нарушении прав и интересов субъекта персональных данных и (или) о нарушении требований в сфере персональных данных являются основанием для выдачи задания на проведение мероприятия по контролю без взаимодействия с контролируемым лицом. Если в результате будут выявлены нарушения (либо их признаки), то вам направят требование об уточнении, блокировании или уничтожении недостоверных либо полученных незаконным путем персональных данных (пп. "б" п. 60, п. 61 Положения о федеральном госконтроле (надзоре) за обработкой персональных данных). В случае его неисполнения может быть возбуждено дело по ч. 5 ст. 13.11 КоАП РФ.

Непосредственное обнаружение: Например, при анализе вашего сайта или документации, запрошенной ранее.

Кейс: Компания разместила на сайте форму обратной связи, но не опубликовала политику конфиденциальности и не получала явного согласия на обработку данных. После жалобы пользователя Роскомнадзор инициировал проверку и выявил нарушение ч. 2 и ч. 3 ст. 13.11 КоАП РФ.

Учитывайте, что в случае выявления у вас нескольких нарушений к ответственности вас привлекут за каждое из них. Однако, если в ходе проведения одного контрольного (надзорного) мероприятия (проверки) будут выявлены два и более нарушения, предусмотренные одной и той же статьей (частью статьи) разд. II КоАП РФ, наказание будет назначено как за совершение одного нарушения. Если ответственность за выявленные нарушения предусмотрена двумя и более статьями (их частями), грозить будет одно - наиболее строгое - наказание (ч. 2 - 6 ст. 4.4 КоАП РФ).

По одной и той же норме к ответственности могут привлечь как организацию, так и ее должностных лиц, которые виновны в совершении правонарушения. Исключение: если к ответственности привлекли должностное лицо (работника) или управляющую компанию юрлица, само юрлицо не накажут при условии, что оно приняло все предусмотренные законодательством меры для соблюдения соответствующих правил и норм (ч. 3, 4 ст. 2.1 КоАП РФ).

Роскомнадзор составил протокол по персональным данным: что происходит дальше и как действует суд?

Получили уведомление от Роскомнадзора о составлении протокола по статье 13.11 КоАП РФ или другим нарушениям? Не паникуйте! Разбираемся по шагам: как проходит процедура составления протокола, какие у вас есть права, кто и как рассматривает дело в суде, и почему сам протокол обжаловать бесполезно.

Этап 1: Протокол от Роскомнадзора – Фиксация нарушения

Итак, Роскомнадзор считает, что ваша компания допустила нарушение в сфере персональных данных (или, например, не выполнила предписание). Следующий шаг ведомства – составление протокола об административном правонарушении. Это официальный документ, где фиксируются все обстоятельства дела. Весь процесс регламентирован статьей 28.2 Кодекса Российской Федерации об административных правонарушениях.

Как вас предупредят?

Прежде чем составлять протокол, Роскомнадзор обязан вас уведомить – сообщить дату, время и место этой процедуры. Сделать это могут любым способом, который позволяет подтвердить, что вы извещение получили:

• Заказным письмом с уведомлением о вручении.
• Телеграммой.
• Другими средствами связи, фиксирующими доставку.

Игнорировать такое уведомление не стоит.

Процедура составления: Ваши права и возможности

В назначенный день и час сотрудник Роскомнадзора приступает к оформлению протокола. В этот момент важно знать свои права:

1. Разъяснение прав и обязанностей: Сотрудник ведомства обязан вам их разъяснить, о чем делается отметка в протоколе.
2. Ознакомление с протоколом: Вы имеете полное право внимательно прочитать весь текст документа.
3. Дача объяснений и замечаний: Вы можете (и часто это целесообразно) изложить свою позицию, дать пояснения по существу дела, указать на несогласие с какими-либо фактами. Все ваши объяснения должны быть приложены к протоколу или внесены в него.
4. Подписание (или отказ): Протокол подписывается как составившим его должностным лицом, так и вами (или вашим законным представителем).
   • Важно: Если вы отказываетесь подписывать протокол, это не аннулирует документ. Сотрудник просто сделает об этом соответствующую запись. Однако подписание не всегда означает согласие с нарушением, особенно если вы приложили свои письменные возражения.
5. Получение копии: Вам обязаны вручить копию протокола под расписку.

Что, если не явиться на составление протокола?

Если вы были надлежащим образом уведомлены, но не явились, протокол составят в ваше отсутствие. Копию документа вам направят по почте в течение трех дней (ч. 4.1 ст. 28.2 КоАП РФ). Однако ваше присутствие дает возможность сразу представить свою позицию и возражения.

Протокол готов. Можно ли его обжаловать?

Распространенный вопрос: можно ли оспорить сам протокол? Ответ – нет, нельзя. Судебная практика (см., например, Определения Верховного Суда РФ от 14.05.2019 N 304-ЭС19-6303, от 14.06.2018 N 310-КГ18-7037) исходит из того, что протокол – это лишь процессуальный документ, фиксирующий предполагаемое нарушение. Он не создает для вас прав и обязанностей, а служит основанием для дальнейшего разбирательства. Оспаривать нужно будет итоговое решение по делу – постановление, если оно будет не в вашу пользу.

Этап 2: Рассмотрение дела в суде – Решение вопроса по существу

После составления протокола у Роскомнадзора есть трое суток, чтобы направить его и все собранные материалы в суд (ч. 1 ст. 23.1, ч. 1 ст. 28.8 КоАП РФ).

Кто и где рассматривает дело?

Дела по "профильной" статье 13.11 КоАП РФ (нарушения по персональным данным), а также по ст. 19.5 (невыполнение предписания) и 19.7 (непредставление сведений) КоАП РФ, как правило, рассматривают мировые судьи (ч. 1 ст. 23.1 КоАП РФ). Обычно это происходит по месту совершения правонарушения.

Лайфхак: Вы можете подать ходатайство о рассмотрении дела по месту вашего жительства (для физлиц) или по месту нахождения вашей организации (для юрлиц), если это удобнее (ч. 1, 3 ст. 23.1, ч. 1 ст. 29.5 КоАП РФ).

Как узнать о дате суда?

Суд обязан известить вас о времени и месте рассмотрения дела. Как и в случае с Роскомнадзором, используются способы, позволяющие зафиксировать факт уведомления: судебная повестка, заказное письмо, телеграмма и т.д. (ч. 1 ст. 25.15 КоАП РФ, п. 6 Постановления Пленума Верховного Суда РФ от 24.03.2005 № 5).

Сколько времени займет рассмотрение?

По общему правилу, у судьи есть два месяца со дня получения протокола и материалов дела, чтобы рассмотреть его. В сложных случаях, требующих дополнительного выяснения обстоятельств, этот срок может быть продлен еще на один месяц (ч. 1.1, 2 ст. 29.6 КоАП РФ).

Каким будет итог?

По результатам рассмотрения судья выносит один из двух видов постановления (ч. 1 ст. 29.9 КоАП РФ):

1. О назначении административного наказания: Если судья сочтет вашу вину доказанной, вам назначат наказание (чаще всего – штраф).
2. О прекращении производства по делу: Если состав правонарушения не будет доказан, обнаружатся процессуальные нарушения или, например, истечет срок давности привлечения к ответственности (ч. 1.1 ст. 29.9 КоАП РФ).

Постановление обычно объявляется сразу после рассмотрения дела. Если вы присутствовали на заседании, копию вам вручат под расписку. Если нет – направят по почте в течение трех дней (ст. 29.11 КоАП РФ).

Именно это постановление (если оно о назначении наказания) вы и сможете обжаловать в вышестоящий суд, если будете с ним не согласны.

Дела об административных правонарушениях, предусмотренных ст. 13.11.3 КоАП РФ, рассматриваются судьями в указанном порядке, если дело возбуждено должностным лицом Роскомнадзора (ч. 1.5 ст. 23.1 КоАП РФ). Дела об административных правонарушениях, предусмотренных этой статьей, в пределах своих полномочий рассматривают и должностные лица Банка России (ч. 1, 2 ст. 23.74 КоАП РФ).

Сроки имеют значение: когда штраф уже не грозит?

Закон устанавливает срок давности привлечения к административной ответственности. Для большинства нарушений в сфере персональных данных (ст. 13.11 КоАП РФ) он составляет 90 календарных дней.

Срок исчисляется:

• Со дня совершения правонарушения (если оно разовое, например, неправомерная передача данных).
• Со дня обнаружения правонарушения (если оно длящееся, например, обработка данных без согласия в течение длительного времени или отсутствие опубликованной политики).
• Для бездействия (например, невыполнение требования) – со дня, следующего за последним днем срока, установленного для выполнения обязанности (п. 14 Постановления Пленума Верховного Суда РФ от 24.03.2005 N 5 в части, не противоречащей п. 3 резолютивной части Постановления Конституционного Суда РФ от 17.05.2022 N 19-П).

Если к ответственности привлекают должностное лицо по статьям, где возможно наказание в виде дисквалификации (например, ч. 1 ст. 19.5 КоАП РФ), срок давности увеличивается до 1 года.

Истечение срока давности – безусловное основание для прекращения дела (п. 6 ч. 1 ст. 24.5, ч. 1.1 ст. 29.9 КоАП РФ).

Не согласны с решением? Порядок обжалования

Если мировой судья вынес постановление о назначении вам штрафа, и вы считаете его необоснованным, у вас есть право на обжалование.

• Куда: В районный суд по месту рассмотрения дела мировым судьей (п. 1 ч. 1 ст. 30.1 КоАП РФ, п. 33 Постановления Пленума Верховного Суда РФ от 24.03.2005 N 5).
• Как: Подать жалобу можно либо напрямую в районный суд, либо через мирового судью, вынесшего постановление. Если вы направили ее мировому судье, то он сам передаст жалобу и материалы дела в районный суд (ч. 1, 3 ст. 30.2, ч. 1 ст. 30.3 КоАП РФ).
• Срок: 10 суток со дня вручения или получения копии постановления (ст. 30.3 КоАП РФ).

Районный суд рассмотрит жалобу (обычно в течение 2 месяцев) и примет решение.

Копию решения по жалобе вам направят либо вручат в течение трех суток после его вынесения (ч. 1.1 ст. 30.5, ч. 2 ст. 30.8 КоАП РФ).

Как минимизировать риски: практические шаги

Чтобы избежать неприятных разбирательств с Роскомнадзором и штрафов, рекомендуем:

1. Провести аудит: Определите, какие персональные данные вы обрабатываете, с какой целью, на каком основании.
2. Разработать документацию: Подготовьте и разместите на сайте Политику обработки персональных данных, разработайте внутренние локальные акты.
3. Получать согласие: Убедитесь, что вы получаете согласие на обработку данных в установленной форме там, где это необходимо по закону.
4. Обеспечить безопасность: Примите необходимые технические и организационные меры для защиты данных от утечек и неправомерного доступа.
5. Реагировать на запросы: Своевременно отвечайте на запросы субъектов данных и Роскомнадзора.
6. Обучить сотрудников: Персонал, работающий с персональными данными, должен знать основные требования законодательства.

Соблюдение законодательства о персональных данных – это не только защита от штрафов, но и важный элемент репутации вашей компании и доверия со стороны клиентов.