Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 статьи 19 Федерального закона от 27.07.2006 № 152–ФЗ «О персональных данных» требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов РФ, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 № 152–ФЗ «О персональных данных», ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.
Проекты нормативных правовых актов, указанных в части 5 статьи 19 Федерального закона от 27.07.2006 № 152–ФЗ «О персональных данных», подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 статьи 19 Федерального закона от 27.07.2006 № 152–ФЗ «О персональных данных», подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством РФ. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства РФ с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Глава 3. Проблемы правового регулирования и правовой защиты персональных данных
3.1. Проблемы реализации законодательства РФ о защите персональных данных
Остановимся подробнее на отдельных проблемах, возникающих при реализации некоторых положений законодательства РФ о защите персональных данных.
В настоящее время возник вопрос о расширении понятия «персональные данные» и обеспечения защиты таковых на территории РФ, вплоть до предоставления гражданину право на сетевое забвение. Теперь стала актуальной задача защиты личного сетевого пространства каждого человека.
Помощник президента РФ Игорь Щеголев на расширенной коллегия Роскомнадзора, которая состоялась 20 апреля 2015 г. заявил: «Интернет утратил невинность. Раньше он был инструментом свободы, а теперь стал инструментом контроля. Вы теперь не потребитель, вы – продукт потребления». Таким образом, персональные данные превратились в виртуальную валюту, большое количество сервисов в Интернете потому и бесплатны, что собранные данные о пользователях можно продать значительно дороже, чем стоит сам сервис. Когда человек окружен устройствами и сервисами, собирающими, в том числе тайно, информацию о нем, нет никакой проблемы в том, чтобы узнать о его интересах и пристрастиях.
Понятие «персональные данные» нуждается в совершенствовании – теперь это понятие должно включать не только имя и реквизиты документов, но и профиль в Интернет, т.е. учетные записи пользователей онлайн-сервисов.
В России практика применения Федерального закона от 27 июля 2006 года «О персональных данных» № 152-ФЗ показывает, что к персональным данным относят, как правило, идентификаторы субъекта персональных данных (ФИО, дата рождения и др.). Однако владельцами онлайн-сервисов накапливаются иные данные, характеризующие поведение человека, его предпочтения, перемещение со временем в пространстве, мировоззрение, связи. Такая «глубокая» идентификация личности приводит к тому, что человек и его личная жизнь становятся беззащитны, поскольку указанные сведения не подпадают под действующую практику, к их обработке и хранению особые требования не предъявляются. Необходимы меры, чтобы обеспечить защиту персональных данных граждан, регулируя их обработку в национальном сегменте сети Интернет и определяя их доступность из глобальной сети.
Это дело государства, поскольку рынок обработки данных не способен обеспечить саморегулирование. Технологический прогресс не отменяет фундаментальных прав и свобод граждан, а также обязанности государства обеспечить их безопасности без ущерба для их частной жизни.
Следует также урегулировать вопрос выдачи согласия на обработку личных данных – оно должно даваться в явном виде, а не подразумеваться.
При этом изменения в соглашениях по обработке персональных данных не должны навязываться пользователям, ранее давшим согласие на обработку персональных данных по иным правилам.
Изначально для каждого интернет-сервиса требовалось отдельное соглашение на использование персональных данных в определенных целях. Но со временем компании начали обновлять эти соглашения. Сейчас, имея один аккаунт в социальной сети, автоматически отдаются данные всей системе сервисов – и на публикацию фотографий, и на чтение поисковой системой почты, и на хранение всех поисковых запросов. Бывает, такое делается даже вопреки тому, что пользователь разрешает, а что запрещает владельцам онлайн-сервисов.
А также гражданин должен иметь возможность удаления в сети Интернет информацию о себе, обладать правом быть забытым.
Другая проблема реализации законодательства о защите персональных данных вытекает из условия правомерности обработки оператором персональных данных сформулированного в ч. 1 ст. 6 ФЗ «О персональных данных»: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Реализация на практике предписания закона о получении согласия лиц на обработку их персональных данных ведет к возникновению у операторов необходимости фиксировать факт получения такого согласия, поскольку в силу ч. 3 ст. 9 ФЗ «О персональных данных» обязанность предоставить доказательство получения согласия субъекта персональных данных на их обработку возлагается именно на оператора.
Некоторые исследователи обращают внимание, что операторам необходимо документально фиксировать полученное согласие субъекта и хранить этот документ на случай, если субъект вдруг решит обратиться в суд в связи с нарушением его прав. Действительно, с точки зрения дальнейшей защиты своих интересов в суде для операторов наилучшей формой получения согласия субъекта персональных данных на обработку этих данных будет именно письменная форма. Однако представляется, что такая ситуация будет вести, с одной стороны, к неоправданному увеличению массива документации в организациях – операторах персональных данных, и с другой стороны – к неоправданному увеличению объема собираемых персональных данных о лице.
Дело в том, что Закон о персональных данных предъявляет к форме письменного согласия строгие требования. Согласно ч. 4 ст. 9 Закона письменное согласие субъекта на обработку своих персональных данных должно включать в себя:
— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
— наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
— срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
— подпись субъекта персональных данных.
Получается, что в конкретных случаях при оформлении письменного согласия субъекта на обработку персональных данных оператор может получить еще больше сведений о лице, чем ему требуется для целей обработки (например, при сборе персональных данных для создания телефонных справочников оператор получит еще и паспортные данные лица, занесенные в форму письменного согласия).
Существующее положение, безусловно, является основанием для уточнения содержащихся в Законе о персональных данных норм, касающихся формы письменного согласия на обработку персональных данных.
Согласно части 1 ст. 9 ФЗ «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Например, с учетом развития современных технологий и сети Интернет такое согласие может быть выражено следующим образом: путем постановки «галочки» напротив строки о своем согласии на обработку персональных данных при размещении своих персональных данных в сети Интернет (например, при покупке товаров через Интернет-магазины), путем простого прохождения по определенным ссылкам и др.
Учитывая это, представляется необходимым уточнить в законе само понятие «согласие на обработку персональных данных», с тем, чтобы у операторов появилось больше возможностей для получения согласия на обработку данных различными способами, и уменьшилась необходимость собирания избыточного объема данных путем получения письменных согласий по установленной форме.
Другое требование законодательства о персональных данных, реализация которого вызывает большие трудности, – это требование о принятии оператором необходимых мер для защиты персональных данных от неправомерного доступа к ним и от иных неправомерных действий с этими данными (ч. 1 ст. 19 ФЗ «О персональных данных»).
Согласно ч. 1 ст. 19 ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Между тем есть основания полагать, что некоторые требования к операторам по защите информационных систем персональных данных являются избыточными.
В частности, это касается требования о необходимости получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации во всех случаях обработки персональных данных.
Как отмечается в литературе, содержащиеся в законодательстве о лицензировании формулировки нуждаются в уточнении. На данный момент под «технической защитой конфиденциальной информации» согласно Положению о лицензировании деятельности по технической защите конфиденциальной информации от 3 февраля 2012 г. № 79 понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Регулирующие органы, руководствуясь таким определением лицензируемого вида деятельности, выдвигают требование получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации даже в тех случаях, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений), что не вытекает из положений Закона о персональных данных[18] и не соответствует духу Федерального закона «О лицензировании отдельных видов деятельности». Если учесть, что обязанность защиты персональных данных возлагается, за малым исключением, на всех юридических лиц, то при таком подходе получение лицензии превращается в чисто фискальную функцию.
Напрашивается вывод, что положения законодательства о лицензировании требуют внесения уточнений с целью устранения обязанности операторов для всех случаев обработки персональных данных получать лицензию. Стоит также определить целесообразность введения в отношении операторов таких мер, как использование ими только сертифицированных средств защиты информации и необходимости проведения аттестации информационных систем.
В качестве еще одного требования к операторам Закон о персональных данных устанавливает обязанность оператора до начала обработки персональных данных уведомить уполномоченный государственный орган о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ «О персональных данных»).
После получения уведомления уполномоченный орган вносит сведения об операторе в реестр операторов, осуществляющих обработку персональных данных. В соответствии с действующими нормативными правовыми актами уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (Роскомнадзор), на что указано в п. 5.1.1.4 «Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», утвержденного Постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228.
Между тем Закон о персональных данных закрепляет некоторые исключения из общего правила о необходимости уведомлять уполномоченный орган. Согласно ч. 2 ст. 22 ФЗ «О персональных данных» уведомлять уполномоченный орган не требуется, в частности, при обработке персональных данных:
— обрабатываемых в соответствии с трудовым законодательством;
— полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
— относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим
— сделанных субъектом персональных данных общедоступными;
— включающих в себя только фамилии, имена и отчества субъектов персональных данных;
— необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
— включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
— обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
— обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Несмотря на наличие указанных исключений, в большинстве случаев операторы все же обязаны уведомлять «Роскомнадзор» о своих намерениях вести обработку. Поскольку практически каждое юридическое лицо сталкивается с необходимостью обработки персональных данных физических лиц, есть вероятность, что реестр операторов будет включать большую часть существующих в стране организаций.
Представляется, что изложенный в законе перечень исключений из обязанности по уведомлению «Роскомнадзора» об обработке персональных данных нуждается в уточнении. В частности, этот перечень может быть дополнен посредством включения в него случаев, при которых не требуется согласие лица на обработку его персональных данных (ведь если в конкретном случае обработка может происходить без согласия самого субъекта персональных данных, то вряд ли есть необходимость уведомлять уполномоченный орган о намерении проводить такую обработку).
Таким образом, некоторые проблемы, возникающие при реализации на практике норм Федерального закона «О персональных данных» и принятых на основании него подзаконных актов свидетельствуют о необходимости совершенствования нормативной правовой базы, регулирующей отношения в области защиты персональных данных.
3.2. Проблемы применения юридической ответственности за нарушение законодательства о персональных данных
Применение административной ответственности.
Проблема применения мер ответственности за нарушение законодательства о защите персональных данных является новой как для юридической науки, так и для правоприменительной практики. Правоприменительная практика пока невелика. В то же время сегодня эта проблема, как никогда, актуальна. Закон эффективен лишь в том случае, если в нем заложен оптимальный механизм его реализации. Одним из самых главных элементов механизма реализации закона является институт юридической ответственности.
В Законе о персональных данных часть 1 ст. 24 об ответственности сформулирована лаконично: «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность». Поскольку указанная норма является отсылочной, то установление конкретных видов правонарушений и применение соответствующих мер ответственности должно регулироваться иными нормативными актами.
В настоящее время меры ответственности за нарушение законодательства о защите персональных данных «разбросаны» по различным отраслям законодательства – административному, уголовному, гражданскому, трудовому. Причем ни в одной отрасли они пока не систематизированы должным образом, не выделены в отдельную группу как правонарушения, посягающие на конкретный вид общественных отношений.
Меры административной ответственности за нарушения законодательства в сфере персональных данных содержатся в КоАП РФ.
В соответствии со ст. 2.1 КоАП административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое Кодексом или законами субъектов РФ об административных правонарушениях установлена административная ответственность.
Сразу отметим, что поскольку в соответствии с п. «к» ст. 72 Конституции РФ административно-правовые отношения относятся к сфере совместного ведения, то субъекты РФ вправе издавать законы, содержащие дополнительные к федеральным составы административных правонарушений, т.е. субъекты РФ вправе устанавливать специальные меры ответственности за нарушения законодательства о персональных данных.
Как следует из понятия административного правонарушения, субъектами административной ответственности могут быть как физические, так и юридические лица.
Общественные отношения, связанные с защитой персональных данных, относятся преимущественно к сфере государственного управления, что обусловливает потенциально большое число составов административных правонарушений в этой сфере в будущем. В настоящее время гл. 13 «Правонарушения в области связи и информации» КоАП РФ содержит несколько составов административных правонарушений, объектом которых являются отношения, связанные с оборотом и защитой персональных данных граждан.
Один из таких составов – «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» (ст. 13.11 КоАП РФ ).
Ответственность наступает в виде предупреждения или наложения штрафа на граждан – в размере от 300 до 500 руб.; на должностных лиц – от 500 до 1000 руб.; на юридических лиц – от 5000 до 10 000 руб. Если размер штрафа для юридических лиц еще можно признать существенным, то для должностных лиц он просто смехотворный.
Объектом правонарушения являются общественные отношения в области защиты персональных данных граждан. Поскольку персональные данные – это обширный массив различной информации, то предметом данного правонарушения могут являться: нарушение личной и семейной тайны, нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, распространение сведений, порочащих честь, достоинство и деловую репутацию лица, а также нарушения установленного порядка ведения деятельности операторами информационных систем, в том числе работодателями, ведущими сбор персональных данных сотрудников в рамках трудовых отношений, нарушение правил журналистской деятельности в части сбора и обработки информации о гражданах и т.п.
Данной нормой обеспечивается один из важнейших принципов работы с персональными данными – принцип обеспечения их конфиденциальности (ст. 7 Закона о персональных данных).
Субъектами данного правонарушения могут быть операторы информационных систем, должностные лица уполномоченных государственных и муниципальных органов, лица, получившие на законном основании доступ к персональным данным в связи с исполнением своих профессиональных обязанностей, а также все иные физические и юридические лица, нарушившие установленный порядок оборота персональных данных.
Рассмотрим пример. Физическое лицо обратилось в банк с заявлением о предоставлении кредита. Банку были представлены необходимые сведения о лице: паспортные данные, информация о прописке, сведения о доходах и имуществе и т.п. Банк в предоставлении кредита отказал, однако на адрес и телефон заемщика стали поступать предложения от других банков. В этом случае банком было нарушено требование обеспечения конфиденциальности персональных данных, а также принцип соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора.
Таким образом, налицо состав правонарушения, предусмотренного ст. 13.11 КоАП РФ.
Если, напротив, банк обращается в организацию с целью проверки сведений о лице, обратившемся за кредитом: работает ли данное лицо в этой организации, какой имеет размер зарплаты и т.п., а организация предоставляет информацию о работнике без его письменного согласия, то это деяние тоже подпадает под признаки административного правонарушения, предусмотренного ст. 13.11 КоАП РФ.
Квалифицирующим признаком в данном правонарушении выступает совершение его должностным лицом, т.е. лицом, получившим доступ к персональным данным в связи с исполнением должностных обязанностей. Обязанность обеспечивать конфиденциальность информации может вытекать как из должностных обязанностей, так и из профессиональных (например, для священника, нотариуса).
Еще одним административным правонарушением в сфере защиты персональных данных является «Отказ в предоставлении информации» (ст. 5.39 КоАП РФ ). Неправомерный отказ в предоставлении информации влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей» (ст. 5.39 КоАП РФ ).
В данной статье речь идет об информации, предоставляемой гражданину и (или) организации, предоставление которой предусмотрено федеральными законами. Такой информацией может быть и информация персонального характера. Поэтому данная норма обеспечивает выполнение ч. 4 ст. 14 Закона о персональных данных , закрепляющей право субъекта персональных данных на получение сведений, касающихся подтверждения факта обработки персональных данных, ее цели и способах и т.п.
Объектом правонарушений, предусмотренных в ст. 5.39 КоАП РФ , являются общественные отношения, складывающиеся по поводу получения и предоставления информации гражданами. Субъектами данных правонарушений являются должностные лица.
Если персональные данные используются в целях прямого маркетинга и запрос оператору относительно источника получения и способов обработки персональных данных остается без ответа, необходимо обращаться с заявлением в Роскомнадзор, которая должна провести проверку и привлечь нарушителя к административной ответственности по данной статье.
Еще один состав, «разглашение информации с ограниченным доступом» (ст. 13.14 КоАП РФ ), предусматривает ответственность за разглашение конфиденциальной информации лицом, которому эта информация стала известна в связи с исполнением служебных или профессиональных обязанностей. В числе такой информации могут быть и персональные данные. Объектом правонарушения являются общественные отношения в сфере защиты информации ограниченного доступа (за исключением сведений, составляющих государственную тайну). Субъектами правонарушения являются граждане и должностные лица. Ответственность наступает в виде штрафа для граждан – в размере от 500 до 1000 руб.; для должностных лиц – в размере от 4000 до 5000 руб.
На сегодняшний день только эти три состава правонарушения, содержащиеся в КоАП РФ , имеют своим непосредственным объектом персональные данные личности. В совокупности они обеспечивают выполнение самых основополагающих правил – соблюдение порядка сбора и обработки персональных данных, обеспечение их конфиденциальности и осуществление права субъекта персональных данных на доступ к своим персональным данным.
Кроме того, КоАП РФ содержит ряд составов правонарушений, предмет которых тесно взаимосвязан с понятием «персональные данные». В числе таких составов можно назвать правонарушения в сфере банковской деятельности, информационной безопасности и т.д. Например, «незаконные действия по получению и (или) распространению информации, составляющей кредитную историю» (ст. 5.53 КоАП РФ ). Данные действия влекут ответственность в виде штрафа для граждан – в размере от 1000 до 2500 руб.; для должностных лиц – от 2500 до 5000 руб. или дисквалификацию на срок до трех лет; на юридических лиц – от 30 000 до 50 000 руб.
Данный состав правонарушения был введен в Кодекс в связи с принятием Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях».
Объектом правонарушения в данном случае выступает нарушение порядка получения и распространения конфиденциальной информации – кредитной истории.
Субъектами данного правонарушения являются юридические лица – бюро кредитных историй, а также виновные должностные лица, осуществляющие организационно-распорядительные или административно-хозяйственные функции в организациях, имеющих статус бюро кредитных историй.