Многие бумажные документы содержат персональные данные (ПД). Какие штрафы грозят за разглашение ПД, обрабатываемых без средств автоматизации?
Загадка: если проект документа создан на компьютере, потом его распечатали и подписали на бумаге, то можно считать, что документ обрабатывается без средств автоматизации? Объясняем, как провести грань между автоматической и «ручной» обработкой ПД.
Какие требования предписывает выполнить постановление Правительства РФ для защиты ПД, обрабатываемых «вручную». Их полный список может вас напугать. Поэтому подсказываем, как «сильные мира сего» минимизируют его выполнение.
Когда говорят об утечке данных, подразумевают, что инцидент произошел в информационной системе. Но персональные данные 1 есть и в документах на бумажных носителях. Еще в 2008 году Правительство РФ утвердило Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации 2, которое недавно актуализировали (новая редакция действует с 26.01.2025).
А в ст. 13.11 КоАП РФ, которую мы планомерно разбираем, есть ч. 6 – по ней наказывают в случае проблем с персданными, обрабатываемыми «вручную» (см. Таблицу 1).
Хотя полностью «ручная» обработка – редкий случай. Большинство даже бумажных документов, в т.ч. содержащих ПД, изначально создаются в информационной системе либо Word и потом распечатываются для подписания на бумаге.
Поэтому важно правильно понимать, что подразумевается под «обработкой ПД, осуществляемой без использования средств автоматизации». Положение как раз и начинается с толкования этого понятия. См. Фрагмент документа далее, обращая внимание на то, что состав перечисленных там действий с ПД значительно меньше, чем состав видов действий, осуществляемых в целом при обработке ПД, в ст. 3 Закона № 152-ФЗ 3. Ограниченные действия с ПД – один из признаков, отличающих обработку ПД без средств автоматизации от автоматизированной обработки.
Таблица 1. Санкции по ч. 6 ст. 13.11 «Нарушение законодательства Российской Федерации
в области персональных данных» КоАП РФ
|
Состав нарушения (с указанием номера части статьи)
|
Размер штрафа
|
|
для граждан
|
для ИП
|
для должностных лиц
|
для организаций
|
|
6. Неправомерный или случайный доступ к персональным данным на материальных носителях (обрабатываемых без средств автоматизации), их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия, вызванные невыполнением установленных законом обязанностей
|
от 1 500 до 4 000 рублей
|
от 20 000 до 40 000 рублей
|
от 8 000 до 20 000 рублей
|
от 50 000 до 100 000 рублей
|
Фрагмент документа
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15.09.2008 № 687)
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Получается следующее: если есть этап «ручной» обработки документов с ПД (даже если на других этапах использовалась информационная система), то при «ручной» обработке ПД человеком мы имеем дело с «обработкой ПД, осуществляемой без использования средств автоматизации»! И если на этапе «ручной» обработки человеком будут совершены действия, перечисленные в ч. 6 ст. 13.11 КоАП РФ (см. Таблицу 1), то возможны штрафы.
Судебная практика...