- По общему правилу, за нарушения в сфере ПДн ответственность несёт оператор — то есть юридическое лицо или индивидуальный предприниматель (ст. 3, ст. 22.1 152-ФЗ).
Однако должностные лица также могут быть привлечены к административной ответственности, если доказано, что нарушение произошло именно по их вине (например, они лично подписали незаконный приказ, отказали субъекту в предоставлении данных, допустили передачу ПДн без основания).
В этом случае ответственный за ПДн может выступать как «должностное лицо» (по смыслу КоАП РФ).
Примеры административной ответственности для должностных лиц
-
Ст. 13.11 КоАП РФ — нарушение порядка сбора, хранения, использования или распространения ПДн:
-
штраф для должностных лиц от 10 000 до 50 000 руб.
-
-
Ст. 13.14 КоАП РФ — разглашение информации с ограниченным доступом (если это ПДн):
-
штраф от 4 000 до 5 000 руб.
-
-
Ст. 19.7 КоАП РФ — непредоставление информации Роскомнадзору:
-
штраф для должностных лиц от 300 до 500 руб. (за незначительные нарушения).
-
На практике это значит: если Роскомнадзор установит, что именно ответственный своими действиями допустил нарушение (например, отказал субъекту в законном требовании удалить данные, не предоставил информацию надзорному органу), он может быть оштрафован лично.
Обоснование по законодательству
-
152-ФЗ «О персональных данных»:
-
ст. 22.1 — оператор обязан назначить ответственное лицо; оно обеспечивает соблюдение требований закона.
-
-
КоАП РФ:
-
ст. 13.11 — административная ответственность за нарушения в обработке ПДн (в том числе должностных лиц).
-
ст. 2.4 — должностное лицо несёт ответственность, если оно своими действиями нарушило закон.
-
Типичные ошибки организаций
-
Считают, что административную ответственность всегда несёт только организация.
-
Назначают «формально» ответственного, не объясняя ему его обязанности и риски.
-
Не закрепляют в должностной инструкции ответственность сотрудника, а потом трудно доказать его вину или невиновность.
Рекомендации и выводы
-
Да, ответственный за ПДн может быть привлечён к административной ответственности как должностное лицо (штрафы до 50 000 руб. по ст. 13.11 КоАП РФ).
-
Основная ответственность всегда остаётся на операторе (юрлице или ИП), но должностные лица тоже могут быть наказаны.
-
Чтобы минимизировать риски, важно:
-
чётко прописать обязанности и права ответственного в должностной инструкции;
-
обеспечить его обучение;
-
правильно вести документацию (согласия, журналы, акты).
-
Если вы хотите, чтобы ваша организация и ответственный за ПДн были максимально защищены от штрафов, специалисты ICTech подготовят для вас полный пакет документов по обработке персональных данных и проведут инструктаж ответственного. Это позволит правильно распределить ответственность, подготовиться к проверке и снизить риски личной административной ответственности.
