к каким последствиям приводит несанкционированное раскрытие информации
К каким последствиям приводит несанкционированное раскрытие информации
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
1.1. Лица, виновные в нарушении требований статьи 14.1 настоящего Федерального закона в части обработки, включая сбор и хранение, биометрических персональных данных, несут административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации.
(часть 1.1 введена Федеральным законом от 31.12.2017 N 482-ФЗ)
1.2. Лица, размещающие в соответствии со статьей 14.1 настоящего Федерального закона в электронной форме сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации и (или) единой биометрической системе, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации за достоверность сведений, размещаемых в указанных системах. Лица, права и законные интересы которых были нарушены в связи с недостоверностью сведений, размещенных в единой системе идентификации и аутентификации и (или) единой биометрической системе, вправе обратиться в установленном порядке в уполномоченный орган по защите прав субъектов персональных данных, а также за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
(часть 1.2 введена Федеральным законом от 29.12.2020 N 479-ФЗ)
2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
4. Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями настоящего Федерального закона.
(часть 4 введена Федеральным законом от 02.07.2013 N 187-ФЗ; в ред. Федерального закона от 24.11.2014 N 364-ФЗ)
(см. текст в предыдущей редакции)
5. Лица, права и законные интересы которых были нарушены владельцем социальной сети в результате неисполнения им требований, установленных в статье 10.6 настоящего Федерального закона, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
(часть 5 введена Федеральным законом от 30.12.2020 N 530-ФЗ)
К каким последствиям приводит несанкционированное раскрытие информации
Статья 7. Последствия неправомерного использования инсайдерской информации и (или) манипулирования рынком
(в ред. Федерального закона от 03.08.2018 N 310-ФЗ)
(см. текст в предыдущей редакции)
1. Любое лицо, неправомерно использовавшее инсайдерскую информацию и (или) осуществившее манипулирование рынком, несет ответственность в соответствии с законодательством Российской Федерации с учетом положений настоящей статьи.
2. Любое лицо, распространившее ложные сведения, не несет ответственности за манипулирование рынком, если оно не знало и не должно было знать, что распространенные сведения являются ложными.
(часть 2 в ред. Федерального закона от 03.08.2018 N 310-ФЗ)
(см. текст в предыдущей редакции)
2.1. Любое лицо, использовавшее инсайдерскую информацию, не несет ответственности за неправомерное использование инсайдерской информации, если оно не знало и не должно было знать, что такая информация является инсайдерской. При этом эмитенты, их должностные лица и работники не несут ответственности за отсутствие в собственных перечнях инсайдерской информации информации, не включенной в перечень инсайдерской информации эмитентов, утвержденный нормативным актом Банка России в соответствии с частью 1 статьи 3 настоящего Федерального закона.
(часть 2.1 введена Федеральным законом от 03.08.2018 N 310-ФЗ)
3. Редакция средства массовой информации, через которое распространены заведомо ложные сведения, ее главный редактор, журналисты и иные работники не могут быть привлечены к ответственности за манипулирование рынком при наличии хотя бы одного из следующих условий:
1) если указанные сведения являются дословным воспроизведением высказываний, интервью, заявлений физических лиц, сообщений или заявлений юридических лиц и такие лица могут быть установлены из содержания продукции средства массовой информации;
2) если указанные сведения являются дословным воспроизведением информации, содержащейся в уже распространенной продукции иного средства массовой информации, которое может быть установлено из содержания распространенных сведений.
4. Юридические лица, осуществляющие производство, выпуск или распространение продукции средства массовой информации, привлекаются к административной и (или) гражданско-правовой ответственности за действия, предусмотренные пунктом 1 части 1 статьи 5 настоящего Федерального закона, в одном из следующих случаев:
1) если указанные в абзаце первом настоящей части юридические лица извлекли доход или избежали убытков в результате совершения операций с финансовым инструментом, иностранной валютой и (или) товаром на основании указанной информации;
2) если указанные в абзаце первом настоящей части юридические лица распространили заведомо ложные сведения на условиях встречного предоставления им денежных средств либо получения ими иной имущественной выгоды;
3) если указанные в абзаце первом настоящей части юридические лица отказались представить в Банк России сведения об источнике распространенных заведомо ложных сведений.
(в ред. Федерального закона от 23.07.2013 N 251-ФЗ)
(см. текст в предыдущей редакции)
5. Профессиональные участники рынка ценных бумаг и иные лица, совершившие операции, сопровождающиеся неправомерным использованием инсайдерской информации и (или) являющиеся манипулированием рынком, не несут ответственности, если указанные операции совершены по поручению (распоряжению) другого лица. Ответственность в данном случае несет лицо, давшее соответствующее поручение (распоряжение).
6. Приостановление действия или аннулирование (отзыв) лицензии на осуществление дилерской, брокерской деятельности, деятельности по управлению ценными бумагами, лицензии на осуществление деятельности по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами, лицензии на осуществление банковских операций, за операции с финансовыми инструментами, иностранной валютой и (или) товарами, совершенные от имени юридических лиц, имеющих указанные лицензии, их работниками, если такие операции сопровождались неправомерным использованием инсайдерской информации и (или) являлись манипулированием рынком, может применяться только в случае, если указанные юридические лица не докажут, что они приняли все необходимые меры для предотвращения соответствующих нарушений.
(в ред. Федерального закона от 21.11.2011 N 327-ФЗ)
(см. текст в предыдущей редакции)
7. Лица, которым в результате неправомерного использования инсайдерской информации и (или) манипулирования рынком причинены убытки, вправе требовать их возмещение от лиц, в результате действий которых были причинены такие убытки.
8. Совершение операций, сопровождающихся использованием инсайдерской информации и (или) являющихся манипулированием рынком, не является основанием для признания их недействительными.
Ответственность за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. «Виды ответственности за нарушение закона о персональных данных»
Вид ответственности
Нарушение
Санкция
Норма
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных
Предупреждение или административный штраф:
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных
Предупреждение или административный штраф:
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Предупреждение или административный штраф:
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)
Предупреждение или административный штраф:
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов
Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ
То же деяние, совершенное с использованием служебного положения
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий
Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан
Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование
Причинение лицу убытков в результате нарушения правил обработки его персональных данных.
Под убытками при этом понимаются:
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных
Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)
Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей
Иные нарушения в области персональных данных при их обработке
Как раскрытие налоговой тайны может привести к штрафам от Роскомнадзора
Представители рынка клининга и технической эксплуатации, а также других отраслей, по которым ФНС реализует так называемые Проекты обеления, в желании доказать свою налоговую добросовестность и законопослушность, к сожалению, часто забывают, что в России действует не только Налоговый кодекс, но и Кодекс об административных правонарушениях с Законом о персональных данных.
Участники отраслевых проектов, которые послушались «рекомендаций» и решили вступить в различные сообщества, «созданные при участии ФНС», раскрывают для этого часть своей налоговой тайны. Однако мало кто из руководителей этих компаний задумывается, что такой избирательный подход к законопослушности может привести к многомиллионным штрафам от Роскомнадзора. Некоторым может не хватить даже квартальной выручки, чтобы рассчитаться по долгам за несоблюдение требований по обработке и распространению персональных данных собственных работников. А общая сумма штрафных санкций для отрасли фасилити способна достичь 10-значных величин.
В рамках раскрытия налоговой тайны на основании п. 1 ст. 102 НК РФ раскрываемые сведения становятся общедоступными, то есть доступ к ним ничем не ограничен и они могут использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации (ст. 7 Закона «Об информации информационных технологиях и о защите информации»).
Зам. руководителя ФНС России Д.С. Сатин в своем письме от 19.03.2020 №СД-4-2/4748@ разъяснил, что согласия, данные налогоплательщиками с кодами «1000», «1100», «1300» и «1400», с указанием в поле «1400» последовательности букв и символов GRUZ, выражают согласие налогоплательщика на признание общедоступными в том числе сведений о застрахованных лицах (код тарифа, ИНН, ФИО).
Участникам Реестра БелыйФМ его держатель рекомендует период таких согласий указывать с первого дня текущего года и без указания конечной даты, то есть раскрывать налоговую тайну без ограничений по времени.
БелыйФМ.рф — информационный ресурс, созданный совместно с Федеральной налоговой службой в рамках отраслевого Проекта по повышению прозрачности рынка фасилити-услуг
Согласно разъяснениям Роскомнадзора (письмо № 08-20922 от 07.04.2021), информация в объеме фамилия, имя, отчество физического лица и ИНН является персональными данными, обработка которых должна осуществляться в строгом соответствии с требованиями Закона № 152-ФЗ. Таким образом, вместе с налоговой тайной, раскрытой по кейсу GRUZ, становятся бессрочно общедоступными персональные данные работников компаний-участников отраслевых проектов ФНС. Речь идет обо всех штатных сотрудниках компании (от генерального директора до уборщицы) и работниках по гражданско-правовым договорам, за которых производились выплаты в ФСС в период действия Согласия налогоплательщика на признание сведений, составляющих налоговую тайну, общедоступными. В это число входят и «старослужащие», и «срочники», и «вахтовики», и те, кто всего один день отработал в компании.
С 1 марта 2021 года общедоступные персональные данные называются «персональными данными, разрешенными субъектом персональных данных для распространения» (ПДнРР), а их обработка должна осуществляться с учетом положений статьи 10.1, введенной ФЗ от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
Новая статья оговаривает необходимость оформления субъектом персональных данных (работником) отдельного Согласия на обработку ПДнРР, которое предоставляется конкретным операторам на конкретный срок.
Операторами таких персональных данных, согласно разъяснениям Роскомнадзора, являются как работодатель, так и третьи лица, среди которых ИФНС и организации, получающие информацию о юрлице на основании запроса по форме КНД 1110070 «На предоставление сведений, составляющих налоговую тайну, признанных общедоступными в соответствии с пунктом 1 статьи 102 Налогового кодекса Российской Федерации».
Однако к ФНС требования Закона о персональных данных не применяются, так как она обрабатывает их «в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей». То есть, действуя в рамках ст. 102 НК РФ, налоговики лишь выполняют возложенные на них обязанности по обработке запроса налогоплательщика на раскрытие его налоговой тайны и предоставление по запросам раскрытых им общедоступных сведений третьим лицам.
По смыслу положений Закона о персональных данных, компания-работодатель, решившая принять участие в отраслевом проекте по обелению отрасли и раскрыть свою налоговую тайну по кейсу GRUZ, становится оператором персональных данных, разрешенных к распространению, так как планирует обрабатывать и распространять ПДнРР своих работников (ФИО ИНН).
Подать согласие на раскрытие налоговой тайны по кейсу GRUZ без предварительного получения вышеуказанного согласия от работника юридическое лицо не имеет права, так как «молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения». При этом Согласие должно содержать прямое разрешение на распространение ПДнРР и прописанное отсутствие запретов на их обработку.
Перед подачей согласия в ФНС будущий участник Реестра БелыйФМ или иных реестров, использующих информацию, раскрытую по кейсу GRUZ, должен:
Стоит отметить, что оператор (работодатель) не имеет права принуждать субъекта к подписанию Согласия, так как в соответствии с п. 1 ст. 9 ФЗ-152, гражданин принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. То есть пугать увольнением или расторжением договора за отказ подписать Согласие — противозаконно. А полученный под угрозами документ не будет иметь юридической силы.
Помимо работодателей, Согласия на обработку персональных данных, разрешенных к использованию, с работников компаний, раскрывших налоговую тайну по кейсу GRUZ, должны собирать и те, кто планирует запросить общедоступную информацию о таких организациях через форму КНД 1110070, — ИП и юридические лица любой формы собственности (коммерческие и некоммерческие). Перед запросом такой информации на сайте организации-получателя должна быть опубликована Политика в отношении обработки персональных данных и сведения об условиях обработки ПДнРР по полученным Согласиям.
До 01.07.2021 Согласия на обработку ПДн должны передаваться субъектом либо его представителем по нотариальной доверенности непосредственно оператору персональных данных в письменной форме на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Роскомнадзор своим приказом утвердил Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения. Они вступают в силу 01.09.2021, но использовать эти рекомендации лучше уже сейчас, чтобы не собирать согласия заново в сентябре.
Закон предупреждает, что оператору ПДн в случае проверки Роскомнадзора или в судебном процессе придется самому доказывать наличие у него Согласий на обработку соответствующих персональных данных. То же касается и случаев раскрытия ПДн неопределенному кругу лиц вследствие правонарушения, например, когда работодатель «забыл» получить Согласие на предоставление неограниченному кругу лиц персональных данных от работника перед отправкой согласия в ФНС на раскрытие налоговой тайны по кейсу GRUZ. В этом случае и работодатель, и получатель общедоступной информации, как и любое лицо, осуществившее распространение или иную обработку ПДн работника, будут обязаны предоставить доказательства законности последующего распространения или иной обработки таких персональных данных.
За нарушение законодательства в области ПДн предусматривается административная ответственность в соответствии с положениями ст. 13.11 КоАП, в которой с 27.03.2021 ужесточены наказания: штрафы удвоены, а предупреждения отменены. То есть при выявлении нарушения платить придется в любом случае. А в соответствии с положениями статьи 2.1 КоАП виновным в совершении административного правонарушения юридическое лицо признается, «если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению». В случае выявления конкретных должностных лиц, по вине которых закон был нарушен, их привлекут к административной ответственности по той же норме, как и юридическое лицо. Таким образом, за одно правонарушение будут судить и компанию, и ее ответственных сотрудников.
Нарушение Закона о персональных данных участниками отраслевых проектов обеления будет являться длящимся, начиная с момента подачи Согласия на раскрытие налоговой тайны в ФНС, благодаря бессрочности такого согласия. При таком правонарушении сроки начинают исчисляться со дня его обнаружения должностным лицом, уполномоченным составлять протокол об административном правонарушении, выявило факт его совершения. Однако, судебная практика по этому вопросу разнородна. Поэтому привлечение к административной ответственности по срокам давности (3 месяца) останется на усмотрение конкретного суда.
Заинтересованные могут ознакомиться и самостоятельно рассчитать величину возможных штрафных санкций для компаний и их руководителей за нарушение Закона о персональных данных при участии в отраслевых проектах обеления ФНС.
Для справки: в настоящий момент в Реестре БелыйФМ 328 организаций и ИП со среднесписочной штатной численностью — 343 человека.
1. За использование компанией-работодателем стандартного Согласия работника, не предоставляющего прав на раскрытие информации неопределенному кругу лиц, в качестве основания для подачи Согласия на раскрытие налоговой тайны по кейсу GRUZ (п.1 ст. 13.11 КоАП) возможны штрафы:
2. За раскрытие компанией-работодателем налоговой тайны по кейсу GRUZ без предварительного получения Согласия на обработку ПДнРР работника, не получение (отсутствие) Согласия у нового работника, принятого на работу после раскрытия налоговой тайны по кейсу GRUZ, использование Согласия с неполным составом сведений, установленным законом, в том числе сроков действия и операторов, которым разрешено обрабатывать и распространять персональные данные работника (п.2 ст. 13.11 КоАП) возможны штрафы:
3. За отсутствие опубликованной Политики в отношении персональных данных у компании-работодателя или компании-получателя общедоступной информации по кейсу GRUZ (п.3 ст. 13.11 КоАП) возможны штрафы:
4. За нарушение сроков (3-10 рабочих дней) выполнения требования субъекта ПДн по прекращению обработки или удалению персональных данных при их неправомерной обработке компанией-работодателем или компанией-получателем общедоступной информации по кейсу GRUZ (п.5 ст. 13.11 КоАП) возможны штрафы:
Вам надо по-другому работать с наличкой. Кого прижмут налоговики и банки? Забирайте запись, пожалуй, лучшего вебинара «Клерка»: «Как будут контролировать наличку по 115-ФЗ».
Только до завтра можно забрать запись со скидкой 60%. Программу вебинара смотрите здесь