Кому придется отвечать за нарушение 152 ФЗ - работодатель или ответственное лицо за обработку персональных данных?

Смотря какое нарушение, будут оценены все обстоятельства.

В инспекцию труда, прокуратуру, роскомнадзор. Аминистративную ответственность может понести как Юрлицо так и должностное лицо.

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

на граждан – от 1 тыс. до 3 тыс. руб.;

на должностных лиц – от 5 тыс. до 10 тыс. руб.;

на юридических лиц – от 30 тыс. до 50 тыс. руб.

Часть 1 ст. 13.11 КоАП РФ.

День добрый! Согласно ст. 13.11. КоАП РФ

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния,-влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей.

1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи,-влечет наложение административного штрафа на граждан в размере от четырех тысяч до двенадцати тысяч рублей; на должностных лиц - от двадцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей - от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных,-влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от тридцати тысяч до ста пятидесяти тысяч рублей.

2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от десяти тысяч до двадцати тысяч рублей; на должностных лиц - от сорока тысяч до ста тысяч рублей; на индивидуальных предпринимателей - от ста тысяч до трехсот тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных-влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до трех тысяч рублей; на должностных лиц - от шести тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от тридцати тысяч до шестидесяти тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных,-влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц - от восьми тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей - от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от сорока тысяч до восьмидесяти тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,-влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц - от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от пятидесяти тысяч до девяноста тысяч рублей.

5.1. Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи,-влечет наложение административного штрафа на граждан в размере от двадцати тысяч до тридцати тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей - от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния-влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до четырех тысяч рублей; на должностных лиц - от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных-влечет наложение административного штрафа на должностных лиц в размере от шести тысяч до двенадцати тысяч рублей.

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации,-влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от одного миллиона до шести миллионов рублей.

9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц - от шести миллионов до восемнадцати миллионов рублей.

Согласно ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных",

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Здравствуйте! На предприятии должен быть разработан правовой акт об обработке и хранении персональных данных работников. Приказом должны быть назначены должностные лица, ответственные за хранение и обработку персональных данных. В зависимости от специфики работы должны быть отобраны письменные согласия работников на обработку их персональных данных (согласие, кстати, можно и отозвать, если не хотите, чтобы ваши данные на право и на лево раздавали). Все это прописано в Федеральном законе № 152-ФЗ. Именно эти правила и проверяет Роскомнадзор, к административной ответственности привлекается предприятие за нарушение порядка хранения и обработки персональных данных, а не за каждое согласие (или его отсутствие), а также должностное лицо, если таковое назначено приказом.

Во-первых, вы должны определиться зачем вам это нужно. Во-вторых, в чём заключается нарушение ваших прав. Если нет такого нарушения, не нужно поднимать данный вопрос.

Добрый день. К ответственности привлекут лицо, осуществляющее обработку. Сбор согласий - это тоже обработка. Это и будет само предприятие-работодатель. Не путайте с физ. лицами - работниками. Работник предприятия (как должностное лицо) может быть привлечен, если будет установлен состав правонарушения.

Андрей,

Может быть назначен штраф на юр лицо. Но после проведённой проверки.

Основное нарушение: отсутствие нескольких письменных согласий на обработку персональных данных у работника (меня), то есть согласий нет, а данные обрабатываются, хранятся и т.д. и таких как я - стони.

Другое нарушение: делал запрос (как субъект) работодателю (как объекту) о том, в каких информационных системах происходит обработка информации, сроки обработки и сроки хранения, была ли трансграничная передача... ответа не получил.

* ни "стони", а сотни...

Насколько я знаю, ужесточения уже новые с 27.03.2021... вопрос: штраф за всё один или за каждое не взятое согласие и т.д. и т.п. отдельный штраф?

В реестре роскомнадзора для данного предприятия назначено ответственное лицо, поэтому и спрашивал.