Несанкционированный доступ к персональным данным, обрабатываемым без средств автоматизации

Многие бумажные документы содержат персональные данные (ПД). Какие штрафы грозят за разглашение ПД, обрабатываемых без средств автоматизации? Загадка: если проект документа создан на компьютере, потом его распечатали и подписали на бумаге, то можно считать, что документ обрабатывается без средств автоматизации? Объясняем, как провести грань между автоматической и «ручной» обработкой ПД. Какие требования предписывает выполнить постановление Правительства РФ для защиты ПД, обрабатываемых «вручную». Их полный список может вас напугать. Поэтому подсказываем, как «сильные мира сего» минимизируют его выполнение.

Когда говорят об утечке данных, подразумевают, что инцидент произошел в информационной системе. Но персональные данные 1 есть и в документах на бумажных носителях. Еще в 2008 году Правительство РФ утвердило Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации 2, которое недавно актуализировали (новая редакция действует с 26.01.2025).

А в ст. 13.11 КоАП РФ, которую мы планомерно разбираем, есть ч. 6 – по ней наказывают в случае проблем с персданными, обрабатываемыми «вручную» (см. Таблицу 1).

Хотя полностью «ручная» обработка – редкий случай. Большинство даже бумажных документов, в т.ч. содержащих ПД, изначально создаются в информационной системе либо Word и потом распечатываются для подписания на бумаге.

Поэтому важно правильно понимать, что подразумевается под «обработкой ПД, осуществляемой без использования средств автоматизации». Положение как раз и начинается с толкования этого понятия. См. Фрагмент документа далее, обращая внимание на то, что состав перечисленных там действий с ПД значительно меньше, чем состав видов действий, осуществляемых в целом при обработке ПД, в ст. 3 Закона № 152-ФЗ 3. Ограниченные действия с ПД – один из признаков, отличающих обработку ПД без средств автоматизации от автоматизированной обработки.

Таблица 1. Санкции по ч. 6 ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ

Состав нарушения
(с указанием номера части статьи)

Размер штрафа

для
граждан

для ИП

для должностных лиц

для
организаций

6. Неправомерный или случайный доступ к персональным данным на материальных носителях (обрабатываемых без средств автоматизации), их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия, вызванные невыполнением установленных законом обязанностей

от 1 500 до 4 000 рублей

от 20 000 до 40 000 рублей

от 8 000 до 20 000 рублей

от 50 000 до 100 000 рублей

Фрагмент документа

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15.09.2008 № 687)

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Получается следующее: если есть этап «ручной» обработки документов с ПД (даже если на других этапах использовалась информационная система), то при «ручной» обработке ПД человеком мы имеем дело с «обработкой ПД, осуществляемой без использования средств автоматизации»! И если на этапе «ручной» обработки человеком будут совершены действия, перечисленные в ч. 6 ст. 13.11 КоАП РФ (см. Таблицу 1), то возможны штрафы.

Судебная практика...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 840 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Утечка персональных данных: самые большие штрафы и уголовная ответственность

Самые большие штрафы грозят за несанкционированную передачу персональных данных (ПД): доходит до 3% с годовой выручки организации и до 500 000 000 рублей! Поэтому мы стали разбираться, какие требования есть к обеспечению безопасности ПД в информационных системах, какие отягчающие и смягчающие размер штрафа обстоятельства учитываются. За какие категории ПД грозит повышенный штраф. В таблице систематизируем, кого, за что и на сколько могут оштрафовать по КоАП РФ. Объясняем, за что «светит» уже уголовная ответственность, по которой могут быть не только крупные штрафы, но и лишение права занимать определенные должности и даже лишение свободы. Разбираемся также со штрафами за неуведомление Роскомнадзора об инциденте с утечкой ПД (либо нарушение срока уведомления – это должно быть сделано в течение 24 и 72 часов), а также за хранение ПД россиян за рубежом.

Акт о выделении документов к уничтожению из подразделений

Форма акта о выделении к уничтожению документов из архива утверждена и содержится в нормативном правовом акте Росархива. А форма акта для выделения к уничтожению документов из структурных подразделений (на этапе текущего делопроизводства) не утверждена. Как доработать для этих целей «архивный» акт? Как составить акт о выделении к уничтожению документов, находящихся на депозитарном хранении в стороннем коммерческом архиве? Каков алгоритм работы: как оформлять акты о выделении документов к уничтожению, как их согласовывать и утверждать, как отражать сам факт уничтожения, где потом хранить акты? Объясняем, кто что и в каком порядке должен делать.

Акт об уничтожении персональных данных или документов?

Во многих документах, которые мы привыкли выделять к уничтожению по акту, составленному по правилам Росархива, содержатся персональные данные. В марте 2023 года вступил в силу приказ Роскомнадзора, который потребовал документировать уничтожение персональных данных по своему акту (там должны фиксироваться иные сведения, его составлять очень трудоемко)! А штрафы за ошибки в работе с персданными большие. Помогаем вам их избежать. Вы поймете, когда надо оформлять уничтожение документов (в т.ч. содержащих персданные) по акту Росархива, а когда – по акту Роскомнадзора. А еще получите аргументацию для диалога с проверяющими, чтобы защитить себя. Отсутствие однозначных разъяснений от профильных ведомств (Росархива и Роскомнадзора) приводит к рискам, которые помогаем вам оценить и выбрать свой «маршрут следования».

Исполнение судебных и адвокатских запросов: сроки, санкции, примеры

На какие адвокатские запросы организация обязана отвечать. Какие есть основания для законного отказа давать ответ. Почему отказ надо тоже направлять в виде письма (показываем примеры). Как проверить статус адвоката через общедоступный реестр в интернете. Когда надо успеть ответить по существу либо отказать в письменном виде, на сколько можно продлить срок исполнения адвокатского запроса. Сроки ответа на судебные запросы информации и документов. Если они содержат конфиденциальную информацию, то как организация может ходатайствовать об их рассмотрении в закрытом судебном заседании и об ограничении к ним доступа (показываем пример). Кого и на сколько могут оштрафовать за игнорирование или срыв срока ответа на адвокатские и судебные запросы.

Кто и как отвечает в организации за работу с персональными данными

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Документирование работы с персональными данными: как избежать штрафов по ст. 13.11 КоАП РФ

Какие могут быть проблемы с целями обработки персональных данных? Когда нужно оформлять письменные согласия на обработку и распространение персональных данных, как их составить грамотно? Когда нужна Политика обработки персданных и где она должна быть опубликована? Когда и какую информацию следует предоставить по запросу человека о его персональных данных? Когда оператор обязан уточнить, заблокировать или уничтожить персональные данные? Как должно производиться обезличивание персональных данных? Когда и о чем следует уведомлять Роскомнадзор? Объясняем, как выполнить перечисленные задачи грамотно и какие штрафы грозят за ошибки.

Переписка с контрагентами как доказательство в суде

Как подтвердить дату отправки и доставки бумажной и электронной корреспонденции через «Почту России»? Какие варианты существуют? И надо ли нотариально заверять распечатки с сайта «Почты России» для суда? Как подтвердить отправку и получение документов через независимую службу доставки (CDEK и др.)? Какая электронная переписка может быть признана в качестве доказательства в суде: что кроме электронной почты, сообщений в мессенджерах и соцсетях может быть использовано? Каким критериям должна соответствовать такая переписка? Как самим можно снять скриншот с нее и приобщить к исковому заявлению или ходатайству в суд? Когда придется обратиться за заверением переписки к нотариусу? И как выглядит протокол ее осмотра нотариусом? Можно ли использовать в суде переписку из запрещенных мессенджеров? Как в договоре оговорить юридическую силу электронной переписки между сторонами (определить уполномоченных лиц, их контактные данные и каналы связи)?

Отметка о поступлении и отметка о вручении документа – разные вещи

Делопроизводственный реквизит «отметка о поступлении документа» в организацию (с входящим номером) кардинально отличается от юридической отметки о получении / вручении документа (с подписью): как по назначению, так и по составу элементов (общая у них только дата). Показываем несколько вариантов их оформления. Обязана ли организация-получатель ставить их на экземпляре отправителя. Как убедить суд в факте вручения документа адресату при его отправке курьером, через «Почту России» или по электронной почте.