Персональные данные, судебная практика в 2022 году
Борисов Д.А. / 28 Мая 2025 / просмотров 157
Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образованииРадикальное изменение ответственности за утечку персональных данных после 30.05.2025 в связи с вступлением в силу частей 12 — 18 статьи 13.11 КоАП
Борисов Д.А.
Выделить главное вкл выкл
После 30.05.2025 ответственность за утечку персональных данных (далее - ПДн) радикально изменится, поскольку вступают в силу части 12 — 18 статьи 13.11 КоАП.
Например, действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных (см. часть 16), влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от одного миллиона до одного миллиона трехсот тысяч рублей; на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.
Частями 16 и 18 статьи 13.11 КоАП предусмотрена ответственность за утечку ПДн, относящихся к специальным категориям ПДн, например, о состоянии здоровья.
Как было отмечено ранее в случае неправомерного доступа к специальным категориям ПДн ответственность наступает независимо от количества субъектов ПДн, чьи данные распространены. То есть, согласно части 16 статьи 13.11 КоАП минимальный штраф для медицинских организаций и индивидуальных предпринимателей в случае утечки информации, включающей специальную категорию персональных данных, например, о пациентах, составит десять миллионов рублей.
При наличии отягчающих обстоятельств применяется следующий порядок назначения наказания.
1. В случае совершения административного правонарушения, предусмотренного частью 16 статьи 13.11 КоАП, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 - 17 статьи 13.11 КоАП, применяется часть 18 статьи 13.11 КоАП, которой предусмотрена ответственность в виде штрафа в размере от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год.
2. Согласно примечанию 5 к статье 13.11 КоАП при назначении административного наказания за совершение медицинской организацией административных правонарушений, предусмотренных частью 18 настоящей статьи (штраф в размере от 1 до 3 процентов совокупного размера суммы выручки за календарный год), учитываются обстоятельства, отягчающие административную ответственность:
1) продолжение противоправного поведения, несмотря на требование Роскомнадзора прекратить, см. пункт 1 части 1 статьи 4.3 КоАП;
2) лицо, ранее подвергнуто административному наказанию за:
- нарушения, предусмотренные частями 1 - 11 статьи 13.11 КоАП;
- использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям, см. статью 13.6 КоАП;
- нарушение правил защиты информации, см. статью 13.12 КоАП.
3. Размер штрафа, предусмотренный частью 18 статьи 13.11 КоАП, составляет не менее двадцати миллионов рублей и не более пятисот миллионов рублей.
Согласно части 1 статьи 10 закона N 152-ФЗ к специальным категориям персональных данных относятся сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Согласно части 1 статьи 13 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее — закон N 323-ФЗ) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
По-мнению автора, все указанные выше сведения, за исключением пожалуй факта обращения гражданина за оказанием медицинской помощи, можно отнести к сведениям о состояния здоровья, то есть к специальной категории персональных данных.
Частями 17 и 18 статьи 13.11 КоАП предусмотрена ответственность за утечку информации, включающей биометрические персональные данные, например, в виде копии первой страницы паспорта или военного билета, либо записей базы данных, содержащих Ф.И.О. и фотографии работников или пациентов.
Как было отмечено ранее в случае неправомерного доступа к информации, включающей биометрические ПДн ответственность наступает независимо от количества субъектов ПДн, чьи данные распространены. То есть, согласно части 17 статьи 13.11 КоАП минимальный штраф для медицинских организаций и индивидуальных предпринимателей в случае утечки информации, включающей биометрические персональные данные, например, копии первой страницы паспорта, содержащей Ф.И.О. и фотографию работника или пациента, составит пятнадцать миллионов рублей.
По-мнению автора, следует исключить хранение копий документов работников или пациентов в связи со следующими обстоятельствами.
Во-первых, Роскомнадзор считает хранение копий документов самостоятельным случаем обработки персональных данных, избыточных по отношению к заявленным целям обработки, что нарушает часть 5 статьи 5 закона N 152-ФЗ. Аналогичной позиции придерживаются суды. Так, в Постановлениях Пятнадцатого арбитражного апелляционного суда от 14.03.2014 N 15АП-22502/2013 по делу N А53-12557/2013, ФАС Северо-Кавказского округа от 21.04.2014 по делу N А53-13327/2013 указано, что собирая и храня в документах кадрового учета копии страниц паспорта, военного билета и других документов, которые содержат персональные данные работника, организация превысила объем обрабатываемых персональных данных.
Учитывая сложившуюся судебную практику по данному вопросу, не следует копировать и хранить в личных делах работников, договорах и медицинских картах пациентов копии документов, содержащих их персональные данные, если такая необходимость не установлена нормативными правовыми актами. В противном случае может наступить ответственность, предусмотренная частями 1 - 2.1 статьи 13.11 КоАП.
Во-вторых, в случае неправомерного распространения, доступа к указанным копиям может наступить ответственность, предусмотренная частями 16 - 18 статьи 13.11 КоАП. Нередко при изготовлении копии документа сотрудниками ставится отметка: кем и когда изготовлена копия, что позволит идентифицировать источник утечки в случае обнаружения указанной копии. То же касается неправомерного доступа к указанным копиям в составе других документов, например, трудового договора, личной карточки работника, договора предоставления платных медицинских услуг и т. п.
В-третьих, согласно разъяснений Роскомнадзора хранение результатов фотосъемки, аудио-, видеозаписи в помещениях медицинской организации, копий документов работников и пациентов, содержащих Ф.И.О. и фотографию, например, паспорта или военного билета, рентгеновских или флюорографических снимков в медицинской документации, не являются случаями обработки биометрических персональных данных поскольку действия Оператора с использованием указанных записи, копий документов, снимков не направлены на установление личности пациента, чья личность уже определена и чьи персональные данные уже имеются в распоряжении Оператора.
Вместе с тем, неправомерный доступ к указанным записям, документам, снимкам со стороны третьих лиц: 1) может быть квалифицирован судом в качестве неправомерного распространения (утечки) биометрических ПДн, поскольку нельзя однозначно исключить использование указанных данных третьими лицами для установления личности субъекта персональных данных; 2) может привести к ответственности, предусмотренной частями 17 и 18 статьи 13.11 КоАП.
Согласно примечаниям к статье 13.11 КоАП:
В частях 10 - 18 настоящей статьи под должностным лицом понимается должностное лицо государственного или муниципального органа либо некоммерческой организации (см. пункт 2).
В частях 10 - 18 настоящей статьи под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом либо некоммерческой организацией (см. пункт 3).
Таким образом, в отношении коммерческих медицинских организаций в форме ООО будет применяться отвественность, предусмотренная статьей 13.11 КоАП для юридических лиц.
Содержание
2022 год
1. Утечка данных потребителей и работников
2. Утечка данных о состоянии здоровья пациентов из медицинской организации
Доступ ограничен
Доступ ограничен для неавторизованных пользователей
Для авторизации, выберите в верхнем меню пункт ВХОД, нажмите ссылку ВОЙТИ. Далее следуйте инструкциям
Подробнее см. процедуру авторизации
