Ответственность за разглашение персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за разглашение персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание

1. Ответственность за нарушение закона о персональных данных

2. Ответственность за разглашение персональных данных в 2021 году

3. Персональные данные: что грозит за нарушение закона

3.1. Административная ответственность: штрафы

4. Ответы Роскомнадзора на вопросы о персональных данных

5. Ответственность за разглашение персональных данных работника

6. Всё, что нужно знать о персональных данных

7. Защищаем секреты фирмы от разглашения работниками

Уголовная — в зависимости от тяжести нарушения суд может назначить разные наказания: от крупных штрафов до лишения свободы, причем, чтобы ответить по статье, достаточно рассказать чужую личную информацию всего одному человеку.
Административная — суд предпишет заплатить штраф или ограничится предупреждением.
Гражданско-правовая — необходимо будет возместить материальный или моральный ущерб
Дисциплинарная — предполагает замечание или выговор, иногда дело может дойти до увольнения.

Ответственность за нарушение закона о персональных данных

Нарушение

Что грозит

Норма закона

Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы.

Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка.

Увольнение

Статья 81, пункт 6, подпункт «в» Трудового кодекса

Работник допустил какие-либо другие нарушения при работе с личной информацией.

Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор.

Замечание или выговор

Статья 90 и статья 192 ТК РФ

Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:

защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.

Всё равно остались вопросы? Или хочется больше разборов реальных ситуаций из практики? Делимся практическим опытом и даем новейшую информацию в авторском курсе о персональных данных. Вам не придется самостоятельно изучать законы и разбирать нагромождения юридических формулировок. Мы уже сделали это за вас и упаковали в простые и понятные принципы.

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Ответственность за разглашение персональных данных в 2021 году

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

на граждан — от 500 до 1 000 руб.;
на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
либо обязательными работами на срок от 120 до 180 часов;
либо исправительными работами на срок до одного года;
либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
либо арестом на срок от четырех до шести месяцев.

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

от всех ли работников получено согласие на обработку персональных данных;
ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
должным ли образом осуществляется хранение и защита персональных данных;
соответствует ли документация об их обработке требованиям законодательства и т.д.

г. Екатеринбург, пер. Отдельный, 5

остановка транспорта Гагарина

Трамвай: А, 8, 13, 15, 23

Автобус: 61, 25, 18, 14, 15

Троллейбус: 20, 6, 7, 19

Маршрутное такси: 70, 77, 04, 67

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Персональные данные: что грозит за нарушение закона

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Берем на заметку и внедряем у себя: госорганам сказали, как работать с электронными документами

1,2 тыс. 0

В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.

Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.

Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:

подтверждение факта обработки персональных данных оператором;
правовые основания обработки данных;
цели и применяемые оператором способы обработки данных;
наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
обрабатываемые персональные данные и источник их получения;
сроки обработки данных, в том числе сроки их хранения;
информация об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.

После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.

Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.

Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.

«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.

¹ Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).

SCHNEIDER GROUP – 500 экспертов, офисы в восьми странах, ваш универсальный партнер.

SCHNEIDER GROUP помогает своим международным клиентам выйти на рынок, предлагает консультирование и услуги бэк-офиса, необходимые им для создания и развития своего бизнеса в Армении, Беларуси, Казахстане, Польше, России, Украине и Узбекистане.

К числу предлагаемых нами услуг относятся: разработка стратегий выхода на рынок, услуги в области бухгалтерского учета и отчетности, консультации по налоговым вопросам, импорт, услуги по внедрению ERP-систем (1C, SAP und Microsoft Dynamics NAV), правовая поддержка в разрешении споров, а также консультации по широкому спектру юридических вопросов, в том числе в областях комплаенса, миграционного, трудового, договорного и корпоративного права.

SCHNEIDER GROUP – ваш универсальный партнер в русскоговорящих странах и Польше.

Ответы Роскомнадзора на вопросы о персональных данных

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

Под разглашением понимается сообщение третьим лицам сведений, составляющих персональные данные человека. Информирование третьих лиц может происходить любым способом: в устной беседе, посредством электронной переписки и т.д.

Если разглашение происходит по просьбе или с ведома лица, чьи персональные данные сообщаются, то такие действия не грозят ответственностью. В случае же разглашения личных сведений без согласия гражданина, такие действия могут быть наказаны по закону.

Объём сведений, за разглашение которых можно привлечь лицо к ответственности определяется в каждом случае индивидуально. Так, например, суды наказывали граждан в соответствии со ст.137 УК за разглашение следующих сведений:

ФИО, место жительства, год рождения, абонентский номер;
Детализация телефонных звонков;
Информация о передвижении автомобиля.

Наказание за разглашение зависит от способа и характера нарушения. Законодательство предусматривает три вида ответственности за такое деяние:

Дисциплинарная;
Административная;
Уголовная.

Дисциплинарная ответственность грозит сотруднику, который знает о некоторых персональных данных своих коллег в силу занимаемого положения (например, работает в кадровой службе), и допустил их разглашение. Данная ситуация регулируется статьями 81 и 90 ТК. Самая серьёзная мера дисциплинарного взыскания – это увольнение.

Обратите вниманиеВторжение в личную жизнь также относится к преступленим против личных прав человека. Разделяют три вида — вторжение в личные дела, присвоение имени или внешности и распространение сведений о частной жизни. Подробнее можно узнать на нашем сайте в этой статье

Для того чтобы привлечь лицо к ответственности по ст.137 УК необходимо одновременное выполнение двух условий:

Сбор или распространение сведений производились незаконно;
Отсутствует согласие лица на сбор или распространение такой информации.

Для привлечения к уголовной ответственности не нужно ждать наступления каких-то неблагоприятных последствий, преступление считается оконченным, как только нарушитель незаконно завладел информацией. Например, хакер, который взломал сайт телефонной компании и получил доступ к телефонным номерам и другим личным данным абонентов уже может быть привлечён к уголовной ответственности независимо от того, как он будет использовать эти сведения.

Наказание за такие действия предусмотрено ч.1 ст.137:

Штраф до 200 000;
Обязательные работы;
Исправительные работы;
Принудительные работы;
Арест до 4 месяцев;
Тюремное заключение до 2 лет.

Часть 3 отличается от предыдущих частей более конкретной диспозицией. В соответствии с ней преступлением является разглашение данных о личности несовершеннолетнего (младше 16 лет) потерпевшего по уголовному делу либо о его травмах и нравственных страданиях, причинённых в результате преступления.

При этом разглашение должно иметь публичный характер:
Знаете ли ВыУголовная ответственность за разглашение коммерческой тайны подразумевает штрафы в пределах 500 000 — 1 500 000 рублей,
исправительные или принудительные работы или лишение свободы на срок от 3 до 7 лет.

публикация в СМИ;
публичное выступление;
видеозапись в СМИ;
произведение, которое демонстрируется публично.

Для ответственности по ч.3 ст.137 также необходимо наступление тяжких последствий для несовершеннолетнего, которые могут выражаться, например, в психическом расстройстве или причинении вреда здоровью.

Наказание по ч.3 ст.137:

штраф до 300 000;
невозможность заниматься определённой работой в течение 5 лет (может быть назначено как основное и как дополнительное наказание);
принудительные работы до 5 лет;
арест до полгода;
тюремное заключение до 5 лет.

Ответственность за разглашение персональных данных работника

Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.

Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.

Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.

Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.

Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор. Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом. Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.

Специфическими персональными сведениями являются тайны. Сюда относится, например, тайна усыновления. Такие личные данные гражданина распространению не подлежат.

В том случае, если такая информация кому-либо стала известна без согласия усыновителя, правонарушители могут быть привлечены к ответственности по уголовной статье.

Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.

Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.

Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

административная;
уголовная.

Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.

Это правонарушение влечет за собой административную ответственность. Это статья 13.11 КОАП РФ. В зависимости от того, кто именно является нарушителем, предусмотрен и различный размер штрафных санкций.

Если закон нарушил гражданин, то он обязан уплатить штраф в казну государства в размере до трех тысяч рублей.
Если это юридические лица – до пятидесяти тысяч рублей.
В случае, если нарушение закона исходило от должностного лица, то возникает обязательство уплаты штрафа в размере до десяти тысяч рублей.
Юридическим же лицам за нарушение закона о неразглашении придется уплатить до семидесяти пяти тысяч рублей.

Начать стоит с самого понятия «Персональные данные». С юридической точки зрения ими являются любые сведения из документов гражданина, не подлежащие огласке, а так же вся информация, которая должна храниться в секрете в соответствии с определенными нормативами и законами. При этом под данное понятие зачастую подводят различные личные сведения о человеке, его секретную и не предназначенную для разглашения огласку. Именно из – за этого может возникнуть путаница в определении ответственности и самого правонарушения. Так что мы рассмотрим разглашение личной информации и как административное, и как уголовное правонарушение.

Начнем с более точного определения персональных данных, а именно с информации из документов и сведений о личности, не предназначенных огласке и защищенных различными нормами законодательства. Это могут быть паспортные данные, личные идентификаторы гражданина, а так же иные сведения, например об имеющихся у него болезнях (защищены врачебной тайной). За распространение таких сведений уголовная ответственность не предусмотрена, так как работа с ними регулируется гражданским кодексом. И поэтому за наказание отвечает Кодекс об Административных Правонарушениях, а именно статья 13.11.

Статья 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных» защищает любые сведения, нераспространение которых гарантировано государством, состоит из 7 частей и достаточно подробно описывает все возможные виды наказания:

Часть первая. Рассматривает запрос и обработку личной информации в тех случаях, когда она не требуется по закону. Грозит предупреждением, наложением штрафа от 1000 до 3000 рублей для граждан, от 5000 до 10000 для должностных лиц и от 30000 до 50000 для юридических лиц;
Часть вторая. Рассматривает сбор и обработку информации без письменного согласия их владельца в тех случаях, когда оно необходимо. Наказанием послужит штраф от 3000 до 5000 рублей для граждан, от 10000 до 20000 для должностных лиц и от 15000 до 70000 для организаций;
Часть третья. Невыполнение оператором, выполняющим обработку данных, правил и норм по их опубликованию или обеспечению доступа. Наказывается штрафом от 700 до 1700 рублей для физических лиц, от 3000 до 6000 для должностных и от 15000 до 30000 для организаций;
Часть четвертая. Рассматривает нарушения в работе оператора, касающиеся его обязанностей по предоставлению персональных данных или информации об их обработке субъекту. Наказывается штрафом от 1000 до 2000 рублей для физических лиц, от 4000 до 6000 для должностных лиц и от 20000 до 40000 для юридических лиц;
Часть пятая. Рассматривает любое нарушение сроков в обработке, хранении, передаче, уничтожении персональной информации. Наказанием за такой проступок послужат штрафы от 1000 до 2000 рублей для физических лиц, от 4000 до 6000 для должностных лиц и от 25000 до 40000 для юридических лиц;
Часть шестая. Рассматривает нарушения, которые привели к распространению персональных данных случайно или умышленно, а так же ошибки при обеспечении безопасности личных сведений и закрытой информации. Наказываются подобные деяния штрафом до 2000 рублей для физических лиц, до 10000 для должностных лиц и до 50000 – для организаций.
Часть седьмая. Рассматривает нарушения законов о персональной информации, которые были замечены за сотрудниками муниципальных или государственных органов власти. Наказываются подобные нарушения штрафами до 6000 рублей.

Нарушение

Что грозит

Норма закона

Оператор нарушил правила обработки личной информации, из-за чего человек понес материальные потери.

Это могут быть:

затраты на восстановление нарушенных прав потеря;
порча имущества;
упущенная выгода.

Полное возмещение убытков, если только меньший объем выплат не установлен законом или договором.

Если виновник как-то нажился на чужой личной информации, ее владелец вправе потребовать в дополнение упущенную выгоду в размере не меньшем, чем полученные нарушителем доходы.

Статья 15 Гражданского кодекса

Оператор нарушил правила обработки личностных сведений, что повлекло для человека моральный вред.

Мужчина обратился в суд: банк засыпал его смс и звонками с требованиями погасить задолженность по кредиту. Деньги он действительно брал, но уже давно выплатил. Однако до сотрудников банка это донести не удавалось.

Суд запретил банку обрабатывать ПД истца и постановил выплатить ему 15 тыс. руб. моральной компенсации.

Компенсация морального вреда

Статья 24 Закона «О персональных данных»

Характеристики о гражданине концентрируются на разных информсборниках (материальные носители), это может быть бумажные анкеты, карточки, учетные листы, фото-текстовые материалы либо компьютерная база, автоматизированные сводные данные и многое другое.

ПД формируются:

муниципальными и государственными службами — МФЦ, Соцзащита, Центр занятости, местные администрации и их отделы, комитеты, департаменты (обращение за пособиями, выплатами, подача прочих заявлений);
банками при получении кредита, участие в качестве поручителя;
судами по рассматриваемым делам с участием гражданина;
правоохранительными органами, если человек фигурирует в проверках (дает показания, предъявляется обвинение и т.п.);
ГИБДД при регистрации ТС;
Росреестром в связи с регистрацией сделок с недвижимостью;
работодателями в процессе трудоустройства;
Интернет-магазинами во время заказа услуг, товаров;
УК, ТСЖ, ЕРИЦ, региональными операторами при начислении коммунальных платежей, вносов на капремонт, плата за ТБО.

Все эти организации и учреждения носят название операторы по работе с перс.данными (далее также — Оператор).

Всё, что нужно знать о персональных данных

Утечка информации может привести к, мягко говоря, неприятным последствиям:

огласка посторонним лицам частных (приватных) фактов из жизни человека, которые компрометируют личность, влияют на репутацию, прочее;
угроза разглашения определенных обстоятельств заинтересованным в этом лицам, от которых гражданин скрывает информацию (шантаж);
различные мошеннические действия, направленные на завладение имуществом, деньгами;
незаконный доступ к банковским карточкам, счетам с целью хищения финансов;
хулиганские действия, наиболее часто распространены в Интернет-среде, например, передача данных для рекламных рассылок;
попытки переложить ответственность за неправомерные действия злоумышленником, путем создания видимости причастности к такой деятельности гражданина;
получение на имя человека кредитов, займов;
открытие на гражданина фирм-однодневок;
ухудшение социального статуса, что может понизить авторитетность как потребителя, например, как потенциального заемщика.

Человека чаще беспокоит не сам факт вторжения в его личное пространство, а последствия. Таковыми могут быть подпорченная репутация, нравственные переживания и даже имущественный ущерб.

Эти вопросы регулируются путем обращения в суд в порядке гражданского производства.

Гражданское дело можно инициировать одновременно с уголовным/административным разбирательством или после его окончания, когда виновного привлекут к ответственности.

Встречаются ситуации, когда есть факт информационного нарушения, есть возникший вред, но нет состава уголовного или административного нарушения. Тогда можно подавать независимый гражданский иск за разглашение персональных данных.

В рамках гражданского судопроизводства нужно будет доказать факт несанкционированных манипуляций с личными сведениями истца, а также какие негативные последствия (в чем выражается моральный ущерб, как возникли убытки, их размер, пр.).

В основном речь идет о трудовых отношениях. Где оператором по работе с ПД являются работодатель в лице руководителя или работника отдела кадров. Субъект ПД – работник.

Для работодателя имеются множественные ограничения по использованию индивидуальных сведений о работнике. Нарушение норм, регулирующих обработку и защиту персональных данных работника сводятся к следующему:

отказ работнику в доступе к его данным, в том числе не предоставление копии труд.книжки и прочих документов;
не исправление неверных сведений о работнике по его требованию или при обнаружении ошибок, неточностей кадровиком (другим ответственным лицом);
не установления режима конфиденциальности в отношении работника внутри организации. То есть не закрепление специального лица (как правило, кадровика) по работе с указанной информацией и оставления возможности видеть её любым другим работником;
злоупотребление статусом работодателя для истребования известий от учреждений, органов и организаций. То есть получение фактов, которые не являются необходимыми для работодателя. Например, сведения о состоянии здоровья;
передача персоналий посторонним лицам, минуя разрешение работника;
получать индивидуальные и характеризующие материалы от работника, а если сбор будет из других источников, то необходимо получить одобрение трудящегося;
объем материалов о трудящемся должен ограничиваться необходимостью определения трудовых обязанностей, обеспечения безопасности работающего, продвижения по карьерной лестнице, обеспечения сохранности материальной базы работодателя;
отсутствие защиты персоналии работающих лиц надежными средствами способами;
не осведомление своих трудящихся о порядке, режиме оборота ПД, правах и обязанностях работника в указанной сфере.

Указанные нормы предусмотрены статьями 86, 88, 89, 90 Трудового кодекса РФ.

За нарушение правил кадровику (или того лица, кто занимается кадровым учетом) могут сделать замечание, объявить выговор, допускается даже увольнение. А если действия привели к ущербу для трудящегося, то можно призвать к более строгой ответственности.

Нужно знать самому и предупреждать об этом своих детей и близких знакомых о таком правиле:

не выкладывать снимки из паспорта, фотографии, которые можно использовать для шантажа, а также свои анкетные характеристики;
не знакомиться с неизвестными людьми в соц.сетях, через электронную почту, не обсуждать в чатах и на форумах приватные стороны своей жизни и членов семьи, планы о покупках, отпусках, пр.

Если же Вы обнаружите свои персоналии на каком-либо сайте, необходимо сообщить об этом администратору, модератору или владельцу веб-ресурса (отправить электронное письмо по реквизитам сайта). То есть требовать, чтобы сведения удалили или хотя бы обезличили.

Уже стало обычным явлением получать массу звонков из кол.центров, банков, страховых компаний с предложениями пройти анкетирование, выразить мнение о чем-нибудь, внести вклад в статистические исследования, или принять выгодную оферту.

Часто звонящие интересуются определенными частными сведениями, которые не рекомендуется сообщать.

А если незнакомые звонящие лица уже знают Ваше имя и фамилию (или больше деталей о персоне), то следует выяснить от какой организации звонок и какой её адрес. После нужно написать в эту компанию запрос о том, из каких источников получена информация о Вас, какой её состав и потребовать её уничтожить.

А мошенники, так вовсе просят номера банковских карт, пороли от личных кабинетов, другое.

Нужно понимать, что по телефону незнакомым лицам вообще не следует сообщать никакой информации, если не Вы инициатор звонка (когда знаете куда звоните и для решения какого вопроса).

Защищаем секреты фирмы от разглашения работниками

Одним из важных моментов, который принимается во внимание при определении состава преступления и несения ответственности – это то, что относится к персональным данным. Как правило, они представляют собой следующую информацию:

Данные паспорта (серия, номер, кем выдан);
Сведения о трудовой деятельности – место работы, обязанности, уровень заработной платы;
Данные о полученном образовании;
Информация относительно прохождения лицом военной службы;
Отдельные факты биографии, медицинские диагнозы;
Личная переписка граждан или должностных лиц;
Сведения относительно адреса проживания, номера контактного телефона.

Возможность предоставления такой информации третьим лицам возможна только при условии согласия ее носителя (лица или представителя организации). В отдельных случаях сотрудники правоохранительных органов, налоговой инспекции имеют право запрашивать на основании имеющихся у них полномочий подобные данные.

В таком случае разглашение информации должностным лицом не будет рассматриваться административным или уголовным кодексом как нарушение прав.

Признаками преступного деяния в случае разглашения информации будут следующие факторы:

Незаконность сбора информации и ее хранения;
Отсутствие согласия носителя данных на ее сбор и предоставление;
Непричастность лиц, которым была предоставлена информация, к правоохранительным органам, имеющим право доступа к подобным данным.

Относительно несения ответственности виновность субъекта может доказываться при разглашении информации одному лицу, публикации ее в средствах массовой информации, на публичных выступлениях и т.д.

В такой ситуации не имеет существенного значения, каким образом это произошло и какое количество третьих лиц стало обладателем информации – важен сам факт незаконного разглашения.

Случаи судебной практики на данный момент имеют достаточно много прецедентов, при которых должностные лица (работники финансовых организаций, медицинских учреждений и т.д.) привлекались к уголовной ответственности за раскрытие информации относительно поставленного диагноза, наличия вкладов, сведений о движении денежных средств, сумме дохода и т.д.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

фамилия, имя, отчество;
пол, возраст;
образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
место жительства;
семейное положение, наличие детей, родственные связи;
факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Практическая ситуация

на граждан — от 500 до 1 000 руб.;
на должностных лиц — от 4 000 до 5 000 руб.

штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
либо обязательными работами на срок от 120 до 180 часов;
либо исправительными работами на срок до одного года;
либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
либо арестом на срок от четырех до шести месяцев.

от всех ли работников получено согласие на обработку персональных данных;
ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
должным ли образом осуществляется хранение и защита персональных данных;
соответствует ли документация об их обработке требованиям законодательства и т.д.

Закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) определяет персональные данные (далее — ПД) как всякую косвенно или напрямую относящуюся к физическому лицу (носителю ПД) информацию. Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан.

В частности, ими могут быть получены:

данные о личности человека (паспортные данные, сведения об образовании, трудовой деятельности, военной службе, финансовом и семейном положении, медицинские данные, биографические факты);
данные о родственниках человека;
прочие сведения, с помощью которых можно идентифицировать человека (переписка, сведения о полученных и отправленных сообщениях, телефонных контактах).

Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст. 6 закона № 152-ФЗ). Обрабатывать ПД (в том числе распространять) можно только в соответствии с принципами, определенными ст. 5 того же закона, — и только в законных и заранее установленных целях, на законной основе и т. д. В противном случае возможно привлечение нарушителей к ответственности, в том числе уголовной — по ст. 137 УК РФ.