Одновременно ответственность может наступать и для конкретных лиц: в рамках административных составов за нарушение законодательства о персональных данных штрафы предусматриваются отдельно для должностных лиц и юридических лиц (а в ряде составов — также для граждан и ИП).
Кто признается ответственным за нарушение 152-ФЗ
Ответственность за нарушение требований закона о персональных данных не ограничивается только «компанией в целом». Закон и практика контроля исходят из того, что отвечают конкретные субъекты, участвующие в обработке персональных данных.
К ним относятся:
Оператор персональных данных
Оператор — это лицо, которое:
- самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных,
- определяет цели обработки и состав обрабатываемых данных.
Именно оператор является основным ответственным субъектом, независимо от того, кто фактически выполняет операции с данными: собственные сотрудники или подрядчики.
Должностные лица оператора
К должностным лицам относятся:
- руководитель организации;
- лица, назначенные ответственными за организацию обработки персональных данных;
- иные сотрудники, на которых возложены соответствующие функции (HR, IT, служба безопасности и т.п.).
Они могут привлекаться к ответственности персонально, наряду с самой организацией.
Иные лица, участвующие в обработке
К таким лицам относятся:
- подрядчики (IT, бухгалтерия, кадровый аутсорсинг, колл-центры);
- обработчики персональных данных по поручению оператора.
Передача обработки подрядчику не освобождает оператора от ответственности, а лишь дополняет круг потенциально ответственных лиц.
Совместные операторы
Если обработка персональных данных осуществляется совместно несколькими лицами (например, партнерские проекты, франшизы, агрегаторы), каждый из них может нести ответственность в пределах своей роли и влияния на процесс обработки.
Таким образом, ответственность по 152-ФЗ всегда «персонифицирована» — она ложится не только на абстрактную компанию, но и на конкретных участников обработки персональных данных.
Ответственность юридического лица
Юридическое лицо несёт ответственность как оператор персональных данных в тех случаях, когда обработка осуществляется в рамках его хозяйственной деятельности и под его управлением.
Ответственность организации наступает, в частности, за следующие нарушения:
Нарушения в организации процессов обработки персональных данных
К юридическому лицу применяется ответственность, если:
- не выстроена система обработки персональных данных;
- отсутствует или формально оформлена организационно-распорядительная документация;
- не определены цели и правовые основания обработки;
- отсутствуют регламенты хранения, передачи и уничтожения данных.
Даже если фактические действия выполняют сотрудники или подрядчики, ответственность несёт именно организация как оператор.
Нарушения, допущенные сотрудниками
Действия работников рассматриваются как действия самой организации, если они совершены:
- в рамках трудовых обязанностей,
- с использованием ресурсов компании,
- в интересах работодателя.
Юридическое лицо отвечает независимо от того, был ли конкретный сотрудник привлечён к дисциплинарной ответственности.
Нарушения, допущенные подрядчиками
Если обработка передана на аутсорсинг (бухгалтерия, кадровики, IT, CRM и т.д.), но:
- не оформлены договорные условия по ПДн,
- не определены меры защиты,
- отсутствует контроль за подрядчиком,
ответственность также несёт оператор — юридическое лицо.
Когда штрафуют именно организацию
Юридическое лицо привлекается к ответственности, если нарушение связано с:
- отсутствием обязательных документов;
- отсутствием уведомления или ошибками в нём;
- нарушением порядка сбора, хранения, передачи данных;
- нарушениями на сайте и в информационных системах.
На практике именно юридические лица чаще всего становятся объектами административных штрафов, поскольку именно они рассматриваются как ключевые организаторы обработки персональных данных.
Ответственность должностных лиц
Наряду с юридическим лицом к ответственности за нарушение 152-ФЗ могут привлекаться и конкретные должностные лица, если нарушение связано с их управленческими или организационными решениями.
Кто относится к должностным лицам
К должностным лицам в контексте законодательства о персональных данных относятся:
- генеральный директор, директор организации;
- руководители структурных подразделений;
- лица, назначенные ответственными за организацию обработки и (или) обеспечение безопасности персональных данных;
- руководители HR, IT, службы безопасности и иные лица, фактически управляющие процессами обработки ПДн.
Когда ответственность наступает персонально
Должностное лицо может быть привлечено к ответственности, если:
- не обеспечило разработку и утверждение обязательных документов;
- не организовало контроль за соблюдением требований 152-ФЗ;
- допустило обработку персональных данных без правовых оснований;
- не обеспечило исполнение предписаний Роскомнадзора.
Наличие ответственного за ПДн не освобождает руководителя от ответственности, если нарушение носит системный характер или связано с управленческими решениями.
Совмещение ответственности
На практике штрафы нередко накладываются:
- одновременно на юридическое лицо,
- и на должностное лицо.
Это означает, что один и тот же факт нарушения может повлечь ответственность сразу для нескольких субъектов.
Персональные риски руководителя
Для руководителя организации нарушения в сфере персональных данных особенно чувствительны, поскольку:
- штрафы назначаются лично;
- информация о нарушениях может становиться публичной;
- повторные нарушения усиливают административную нагрузку.
Именно поэтому вопросы персональных данных всё чаще рассматриваются как элемент корпоративных рисков, а не просто «юридическая формальность».
Ответственность индивидуального предпринимателя
Индивидуальный предприниматель, обрабатывающий персональные данные, признаётся оператором персональных данных наравне с юридическими лицами и несёт ответственность за нарушения требований 152-ФЗ самостоятельно, без разделения на «компанию» и «руководство».
ИП как оператор персональных данных
ИП становится оператором персональных данных, если он:
- принимает данные клиентов, покупателей, контрагентов;
- обрабатывает персональные данные сотрудников (если они есть);
- использует сайт, CRM, рассылки, онлайн-кассы и иные цифровые инструменты, связанные с персональными данными.
В этих случаях ИП обязан выполнять все требования законодательства о персональных данных в полном объёме.
Отличия ответственности ИП от юридического лица
Ключевая особенность заключается в том, что:
- ИП отвечает лично как субъект предпринимательской деятельности;
- отсутствует разграничение между «организацией» и «должностным лицом»;
- штрафы и иные меры применяются непосредственно к ИП как к физическому лицу, ведущему бизнес.
Это означает, что персональные данные для ИП — это не формальность, а прямой источник личных правовых и финансовых рисков.
Когда ИП отвечает лично
Ответственность ИП наступает, если:
- отсутствуют обязательные документы по персональным данным;
- не подано уведомление в Роскомнадзор;
- нарушен порядок сбора, хранения или передачи персональных данных;
- допущены нарушения при обработке данных через сайт или онлайн-сервисы.
На практике ИП нередко ошибочно считают, что требования 152-ФЗ применимы только к «крупным компаниям», что является одной из самых распространённых причин привлечения их к ответственности.
Ответственность сотрудников и подрядчиков
В обработке персональных данных нередко участвуют не только сам оператор, но и конкретные физические лица — сотрудники и внешние исполнители. При этом их ответственность существенно отличается от ответственности оператора.
Ответственность сотрудников
Сотрудники организации, работающие с персональными данными, могут нести ответственность, если:
- допустили несанкционированный доступ к данным;
- использовали персональные данные вне служебных целей;
- нарушили установленные регламенты обработки и защиты ПДн;
- допустили утечку данных по своей вине.
Однако принципиально важно:
перед государством ответственность за действия сотрудников несёт прежде всего оператор (компания или ИП).
Ответственность самих работников чаще всего реализуется в форме:
- дисциплинарной ответственности;
- материальной ответственности перед работодателем;
- в отдельных случаях — административной или уголовной ответственности, если нарушение выходит за рамки трудовых обязанностей.
Ответственность подрядчиков и обработчиков
Подрядчики (аутсорсинговые компании, IT-провайдеры, бухгалтерия, кадровики, CRM-провайдеры и т.д.) могут нести ответственность, если:
- они самостоятельно нарушили требования к обработке персональных данных;
- использовали данные вне рамок поручения оператора;
- не обеспечили меры защиты, предусмотренные договором и законом.
При этом:
- ответственность подрядчика не освобождает оператора от ответственности перед Роскомнадзором;
- для оператора принципиально важно закреплять обязанности по ПДн в договорах с подрядчиками.
Почему оператор отвечает почти всегда
Даже если утечка или нарушение произошли по вине подрядчика или сотрудника, Роскомнадзор в первую очередь оценивает:
- принял ли оператор меры по защите ПДн;
- оформлены ли отношения с обработчиками;
- предусмотрен ли контроль.
Отсутствие таких мер означает, что оператор не исполнил свои обязанности, и ответственность возлагается именно на него.
Дальше логично разобрать ситуации, когда ответственность распределяется между несколькими субъектами одновременно — совместную и распределённую ответственность.
Совместная и распределенная ответственность
В ряде случаев ответственность за нарушение 152-ФЗ может наступать одновременно для нескольких субъектов. Это характерно для ситуаций, когда обработка персональных данных осуществляется не одним лицом, а несколькими участниками.
Когда возникает совместная ответственность
Совместная ответственность возможна, если:
- несколько лиц совместно определяют цели и способы обработки персональных данных;
- обработка осуществляется в рамках партнерских, агентских или франчайзинговых схем;
- персональные данные передаются между связанными компаниями внутри группы.
В таких случаях каждый из участников рассматривается как оператор персональных данных в части своего влияния на процесс обработки.
Ответственность оператора и обработчика
Даже при передаче обработки по договору:
- оператор отвечает за законность обработки и организацию системы защиты ПДн;
- обработчик (подрядчик) отвечает за соблюдение условий поручения и требований по безопасности данных.
Если нарушение произошло:
- по вине оператора — ответственность ложится на оператора;
- по вине обработчика — ответственность может наступить для обоих, в зависимости от обстоятельств.
Типовые конфликтные ситуации
На практике наиболее часто возникают следующие ситуации:
- оператор перекладывает вину на подрядчика, не имея оформленных договорных обязательств по ПДн;
- подрядчик заявляет, что действовал по указанию оператора;
- обе стороны не могут подтвердить, кто отвечал за конкретные меры защиты.
В таких случаях Роскомнадзор, как правило, исходит из принципа:
отсутствие распределения ответственности в документах означает ответственность оператора.
Почему важна фиксация ролей
Чёткое определение ролей и обязанностей в документах по персональным данным позволяет:
- снизить риск солидарной ответственности;
- ограничить объём претензий к каждому из участников;
- упростить защиту интересов при проверках и спорах.
Когда ответственность наступает независимо от вины
В сфере персональных данных значительная часть нарушений относится к так называемым формальным составам, при которых ответственность наступает не за последствия, а за сам факт несоблюдения установленных требований.
Это означает, что для привлечения к ответственности не требуется доказывать:
- причинение вреда субъектам персональных данных;
- наступление утечки данных;
- наличие умысла или неосторожности.
Достаточно установить сам факт нарушения.
Типовые формальные нарушения
К таким нарушениям относятся, в частности:
- отсутствие обязательных документов по персональным данным;
- отсутствие или ошибки в уведомлении об обработке ПДн;
- отсутствие политики конфиденциальности;
- отсутствие согласий субъектов ПДн;
- несоблюдение установленного порядка обработки данных.
Даже если персональные данные фактически не были скомпрометированы, сам факт отсутствия документов уже образует состав административного правонарушения.
Почему отсутствие документов — ключевой риск
Отсутствие организационно-распорядительной документации означает, что оператор:
- не подтвердил выполнение своих обязанностей по 152-ФЗ;
- не обеспечил системность обработки персональных данных;
- не может доказать законность своих действий при проверке.
Именно поэтому отсутствие или формальный характер документов является одним из самых распространённых оснований для привлечения к ответственности.
Для снижения этих рисков разрабатывается организационно-распорядительная документация по защите персональных данных.
Как минимизировать персональную ответственность
Минимизация ответственности за нарушения 152-ФЗ возможна только при системном подходе к организации обработки персональных данных. Формальные меры или разовые действия под проверку не дают устойчивого эффекта.
Выстроить систему обработки персональных данных
Необходимо:
- определить, какие персональные данные обрабатываются;
- установить цели и правовые основания обработки;
- зафиксировать процессы сбора, хранения, передачи и уничтожения данных;
- определить ответственных лиц и зоны ответственности.
Без этого документы не будут работать как инструмент защиты.
Корректно распределить роли и полномочия
Важно:
- закрепить обязанности сотрудников по работе с ПДн;
- назначить ответственных за организацию обработки и безопасность данных;
- определить порядок взаимодействия с подрядчиками.
Это снижает риск персональной ответственности руководителя и позволяет доказать, что обязанности распределены и исполняются.
Зафиксировать обязанности в ОРД
Именно организационно-распорядительная документация:
- определяет, кто за что отвечает;
- позволяет доказать выполнение требований закона;
- защищает не только компанию, но и конкретных должностных лиц.
Для снижения этих рисков разрабатывается организационно-распорядительная документация по защите персональных данных.
Привести сайт и кадровые процессы в соответствие требованиям закона
Часто нарушения выявляются именно в:
- обработке персональных данных через сайт;
- кадровых процессах.
Для этого проводят аудит сайта на соблюдение законодательства по защите информации.
Актуализировать уведомление в Роскомнадзор
Несоответствие уведомления реальной деятельности оператора создаёт самостоятельный риск ответственности.
Для его устранения необходимо внести изменения в уведомление в Роскомнадзор.
На практике
На практике ответственность за нарушение 152-ФЗ почти никогда не ограничивается только «компанией в целом». Как правило, при проверках Роскомнадзора к ответственности одновременно привлекаются:
- юридическое лицо как оператор персональных данных,
- и одно или несколько должностных лиц, прежде всего руководитель.
Ключевой фактор, усиливающий персональные риски, — отсутствие либо формальный характер организационно-распорядительной документации по персональным данным. В таких случаях оператор не может доказать, что обязанности распределены и реально исполняются, а значит, ответственность автоматически персонализируется.
Наиболее устойчивой моделью защиты является не разовая подготовка документов «под проверку», а системная организация обработки персональных данных, при которой:
- роли и зоны ответственности зафиксированы документально,
- сайт и кадровые процессы приведены в соответствие требованиям закона,
- документы регулярно актуализируются,
- уведомление в Роскомнадзор соответствует реальной деятельности.
Именно такой подход позволяет минимизировать не только корпоративную, но и персональную ответственность за нарушения требований 152-ФЗ.
