Защита персональных данных ук. Защита персональных данных
В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.
Персональные данные: штрафы
Основание | Размер штрафа | |||
Физлица | Должностные лица | Юрлица | ИП | |
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн | предупреждение или штраф — от 1000 до 3000 руб. | предупреждение или штраф — от 5000 до 10 000 руб. |
предупреждение или штраф — от 30 000 до 50 000 руб. | |
Обработка ПДн без письменного согласия на то их субъекта | от 3000 до 5000 руб. | от 10 000 до 20 000 руб. | от 15 000 до 75 000 руб. | |
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн | от 700 до 1500 руб. | от 3000 до 6000 руб. | от 15 000 до 30 000 руб. | от 5000 до 10 000 руб. |
Непредоставление субъекту ПДн информации по их обработке | предупреждение или штраф — от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 6000 руб. | предупреждение или штраф — от 20 000 до 40 000 руб. | предупреждение или штраф — от 10 000 до 15 000 руб. |
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) | предупреждение или наложение штрафа в размере от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 10 000 руб. |
предупреждение или штраф — от 25 000 до 45 000 руб. | предупреждение или штраф — от 10 000 до 20 000 руб. |
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования | от 700 до 2000 руб. | от 4000 до 10 000 руб. |
от 25 000 до 50 000 руб. | от 10 000 до 20 000 руб. |
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн | предупреждение или наложение административного штрафа — от 3000 до 6000 руб. |
Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
В связи с этим возникает много вопросов, наиболее часто задаваемые:
- Являюсь ли я оператором персональных данных?
- Распространяется ли на меня закон о персональных данных?
- Как уведомить Роскомнадзор об обработке персональных данных?
- Что делать владельцу сайта, чтобы избежать штрафов?
Давайте разбираться со всеми вопросами по порядку.
"О персональных данных" регулирует отношения, связанные с обработкой личных сведений субъектов, осуществляемой органами госвласти, местными структурами управления и иными органами, физическими и юрлицами, с применением средств автоматизации либо без них, если операции соответствуют характеру действий с их использованием. Цель нормативного акта заключается в обеспечении защиты интересов, свобод и прав человека, неприкосновенности его частной жизни и семейной тайны. Рассмотрим далее, какие виды наказания предусматривает "О персональных данных".
Общие сведения
Статья 24 152-ФЗ прямо устанавливает возможные виды наказаний, применяемые к нарушителям установленных требований. Санкции вменяются при наличии вины субъектов. В нормах установлена гражданская, административная ответственность за разглашение персональных данных, а также наказание по УК и ТК.
КоАП
Ответственность за разглашение персональных данных возможна по нескольким статьям Кодекса. Среди них стоит отметить следующие:
- 13.11 - Нарушение порядка сбора, хранения, распространения или использования полученных сведений о гражданах, установленного нормами.
- 13.12 - невыполнение правил защиты сведений.
- 13.13 - незаконная деятельность в сфере охраны личной информации.
- 13.14 - разглашение данных с ограниченным доступом.
Наказание
Нарушение установленного порядка сбора, хранения, распространения либо использования личной информации о гражданах прямо указывает на необходимость соблюдения положений рассматриваемого федерального нормативного акта. В соответствии со ст. 13.11 КоАП, виновным грозит предупреждение или штраф. Его размер составляет:
Нарушение правил защиты сведений
В ст. 13.12 КоАП указывается на обязательные признаки, при наличии которых может наступить ответственность за разглашение персональных данных. Эти критерии определяют состав проступков, подпадающих под указанную норму. К таким обязательным признакам относят:
ТК
В соответствии с 85 статьей Кодекса, персональными данными сотрудника являются сведения, которые необходимы нанимателю в связи с трудовыми отношениями, и относящиеся непосредственно к конкретному работнику. При зачислении в штат нового служащего руководитель обязан сообщить ему о цели, для которой он запрашивает личную информацию, ее характере. Кроме этого, работник предупреждается о последствиях отказа дать согласие (письменное) на При этом нанимателю запрещается получать и обрабатывать информацию о его религиозных, политических и прочих убеждениях, членстве в общественных организациях, профсоюзной деятельности, а также о частной жизни. Ответственность за разглашение персональных данных в первую очередь предусмотрена для руководителя предприятия. Кроме этого, санкции установлены и для ответственных лиц предприятия. Ими, в частности, являются работники, обеспечивающие сохранность информации, в соответствии с трудовым контрактом либо должностной инструкцией. К таким работникам наниматель может применить дисциплинарные взыскания, определенные 192 статьей ТК. В частности, установлены следующие санкции: увольнение, выговор, замечание. Кроме этого, руководитель имеет право расторгнуть в одностороннем порядке трудовой контракт с сотрудником, распространившим сведения, охраняемые 152-ФЗ, ставшие ему известными в силу исполнения им его обязанностей.
ГК
Гражданский кодекс в 946 статье предусматривает ответственность за нарушение субъектом "тайны страхования". В частности, в норме установлено, что представитель страх. организации не имеет права распространять сведения, полученные им при осуществлении профессиональной деятельности. Это касается информации о выгодоприобретателе, застрахованном лице, в том числе о состоянии здоровья указанных субъектов, а также об их имущественном статусе. Ответственность за разглашение персональных данных наступает в зависимости от рода прав, которые были ущемлены, характера нарушения. Наказание наступает в соответствии с нормами в порядке и случаях, предусмотренных в них, а также в тех ситуациях и пределах, в каких реализация способов защиты интересов гражданина вытекает из сути нематериального права, на которое было совершено посягательство, и характера последствий деяния. Следует при этом отметить, что практика применения данной нормы малоизвестна.
УК
Уголовная ответственность за разглашение персональных данных определена в ст. 137. В соответствии с нормой, наказание вменяется за нарушение неприкосновенности личной жизни гражданина, выраженное в собирании либо распространении сведений, составляющих его семейную либо индивидуальную тайну, без его согласия. Ответственность за разглашение персональных данных по 137 статье наступает и в случае обнародования информации в публичном выступлении, при демонстрации произведения, а также в СМИ. Виновному грозит денежное взыскание до 200 тыс. руб., тюремное заключение до 2 лет. Если указанные деяния были совершены с наказание будет ужесточено. Так, тюремное заключение может составлять до 4 лет.
Пояснения
В соответствии с Конституцией, каждый обладает правом на неприкосновенность его частной жизни, семейной и личной доброго имени и чести. Не допускается сбор, хранение и обнародование персональных сведений без согласия гражданина. Этот запрет гарантирует частную жизнь человека. Под ней понимают ту сферу жизнедеятельности, которая касается исключительно конкретного лица и не подлежит контролю общества и государства, если носит правомерный характер. Преступление, попадающее под 137 статью УК, с объективной стороны характеризуется активными действиями. Оно выражается в собирании сведений, относящихся к семейной, личной тайне человека, без его разрешения, распространении их без согласия, а также обнародование их публично, то есть разглашение персональных данных третьим лицам.
Специфика деяний
Распространением, по смыслу ст. 137 УК, считается любое неправомерное либо без разрешения гражданина доведение информации до сведения хотя бы одного субъекта. Метод разглашения данных не влияет на квалификацию. Распространение информации в публичном выступлении предполагает доведение сведений до неопределенно большой аудитории. Разглашение информации в демонстрирующемся произведении предполагает включение данных в его содержание. Под СМИ понимают периодическое издание печатного типа, видео-, теле-, радиопрограмму, кинохронику и пр. В тех случаях, когда ответственность устанавливается иными статьями УК, преступление квалифицируется по специальной норме, согласно ст. 17, ч. 3 Кодекса. К примеру, так рассматривается распространение сведений о тайне усыновления. Если информация включена в состав других данных, также защищаемых законом, то обнародование сведений квалифицируется по совокупности норм. Например, распространение информации о предварительном следствии рассматривается по 137 и 310 статьям УК.
Заключение
Персональные данные относятся к информации, охраняемой законодательством. В первую очередь защита гарантируется Конституцией в ст. 23. Это положение конкретизируется в ФЗ № 152. В частности, детализация конституционного положения осуществляется в ст. 24 нормативного акта. В нем определяются виды ответственности, к которым может привлекаться лицо, нарушившее конфиденциальность персональных данных. Самое мягкое наказание устанавливает КоАП и ТК. Виновный, распространивший сведения о гражданине, отделается дисциплинарными взысканиями или штрафом. Между тем, потерпевший имеет право подать гражданский иск. Разглашение персональных данных наказывается также по УК. В этом случае, в зависимости от характера нарушения, виновный даже может лишиться свободы. Не останутся безнаказанными и лица, которые распространили личные сведения, используя служебное положение. Для них наказание будет ужесточено. Что касается защиты в суде, то нормами предусмотрено право гражданина заявить ходатайство о проведении закрытого заседания. Иск может включать в себя требование о взыскании морального вреда, если вследствие распространения сведений гражданин испытывал нравственные/физические страдания. Заявление составляется в соответствии с требованиями ГПК. Истец должен будет предоставить доказательства в обосновании своих требований.
Перед тем, как разбираться с ответственностью за разглашение персональных данных, необходимо определить, какая информация к ним относится. Понятие персональных данных содержится в Законе «О персональных данных» № 152 , изданном в 2006 году. Под персональными данными понимаются любые сведения о человеке, позволяющие конкретно определить его личность. Это может быть, как личная информация, так и информация об имуществе гражданина.
Персональные данные в том числе включают в себя:
- Адрес места жительства;
- Место работы и должность;
- Индивидуальные номера личных документов (например, идентификационный номер паспорта);
- Семейное положение;
- Информация о родственниках и близких;
- Сведения о владении конкретным имуществом и т.д.
Пояснение понятия разглашения персональных данных
Под разглашением понимается сообщение третьим лицам сведений, составляющих персональные данные человека. Информирование третьих лиц может происходить любым способом: в устной беседе, посредством электронной переписки и т.д.
Если разглашение происходит по просьбе или с ведома лица, чьи персональные данные сообщаются, то такие действия не грозят ответственностью. В случае же разглашения личных сведений без согласия гражданина, такие действия могут быть наказаны по закону.
Объём сведений, за разглашение которых можно привлечь лицо к ответственности определяется в каждом случае индивидуально. Так, например, суды наказывали граждан в соответствии со ст.137 УК за разглашение следующих сведений:
- ФИО, место жительства, год рождения, абонентский номер;
- Детализация телефонных звонков;
- Информация о передвижении автомобиля.
Ответственность
Наказание за разглашение зависит от способа и характера нарушения. Законодательство предусматривает три вида ответственности за такое деяние:
- Дисциплинарная;
- Административная;
- Уголовная.
Дисциплинарная ответственность грозит сотруднику, который знает о некоторых персональных данных своих коллег в силу занимаемого положения (например, работает в кадровой службе), и допустил их разглашение. Данная ситуация регулируется статьями 81 и 90 ТК. Самая серьёзная мера дисциплинарного взыскания – это увольнение.
Административная ответственность наступает в случае разглашения или неправомерной работы с персональными данными в тех случаях, когда эти действия не подпадают под уголовную ответственность. В данном случае нарушителю грозит штраф за разглашение персональных данных (ст. 31.11 КоАП).
Уголовная ответственность в случае нарушения неприкосновенности частной жизни наступает по ст.137 УК.
Случаи привлечения к уголовной ответственности
Обратите внимание
Для того чтобы привлечь лицо к ответственности по ст.137 УК необходимо одновременное выполнение двух условий:
- Сбор или распространение сведений производились незаконно;
- Отсутствует согласие лица на сбор или распространение такой информации.
Для привлечения к уголовной ответственности не нужно ждать наступления каких-то неблагоприятных последствий, преступление считается оконченным, как только нарушитель незаконно завладел информацией. Например, хакер, который взломал сайт телефонной компании и получил доступ к телефонным номерам и другим личным данным абонентов уже может быть привлечён к уголовной ответственности независимо от того, как он будет использовать эти сведения.
Наказание за такие действия предусмотрено ч.1 ст.137:
- Штраф до 200 000;
- Обязательные работы;
- Исправительные работы;
- Принудительные работы;
- Арест до 4 месяцев;
- Тюремное заключение до 2 лет.
Статья о разглашении личных данных также позволяет суду назначить в дополнение к любому из перечисленных наказаний запрет на занятие определённым видом деятельности до 3 лет.
Часть 2 ст.137 УК РФ
В том случае, если действия по сбору и разглашению личных данных производились лицом, используя своё служебное положение, ответственность наступает по ч.2 ст.137 . Судебная практика показывает, что незаконные сбор и разглашение персональных данных совершаются именно должностными лицами. Это могут быть:
- сотрудники телефонных компаний, предоставляющие коммерческим организациям сведения об абонентах или просто сообщающие информацию о проведённых конкретным лицом звонках своим друзьям;
- работники отдела кадров, где как правило хранятся основные документы, содержащие личные данные всех сотрудников компании, и т.д.
Часть 2 статьи 137 за разглашение данных предусматривает следующие наказания:
- штраф до 300 000;
- принудительные работы до 4 лет;
- арест до полугода;
- тюремное заключение до 4 лет.
Часть 3 ст.137 УК РФ
Часть 3 отличается от предыдущих частей более конкретной диспозицией. В соответствии с ней преступлением является разглашение данных о личности несовершеннолетнего (младше 16 лет) потерпевшего по уголовному делу либо о его травмах и нравственных страданиях, причинённых в результате преступления.
При этом разглашение должно иметь публичный характер:
- публикация в СМИ;
- публичное выступление;
- видеозапись в СМИ;
- произведение, которое демонстрируется публично.
Для ответственности по ч.3 ст.137 также необходимо наступление тяжких последствий для несовершеннолетнего, которые могут выражаться, например, в психическом расстройстве или причинении вреда здоровью.
Наказание по ч.3 ст.137:
- штраф до 300 000;
- невозможность заниматься определённой работой в течение 5 лет (может быть назначено как основное и как дополнительное наказание);
- принудительные работы до 5 лет;
- арест до полгода;
- тюремное заключение до 5 лет.
Хотите получить больше информации? Задавайте вопросы в комментариях
С 1 июля 2017 повысились размеры штрафов за разглашение персональных данных работников. Поэтому особую актуальность приобрел вопрос: всегда ли работники понимают, что именно является персональными данными и что значит «запрещено разглашать».
Что такое персональные данные
Согласно п. 1 ст. 3 ФЗ № 152, персональные данные - это вся возможная информация, которая каким-либо образом относится к человеку и позволяет идентифицировать его личность. Это могут быть абсолютно любые сведения - от фамилии до антропометрических особенностей.
Работодатель не вправе заключать трудовой договор, если потенциальный работник не подписал согласие на обработку персональных данных.
В ст. 85 Трудового кодекса РФ поясняется, что персональными данными сотрудника признается информация непосредственно о нем самом, которая требуется работодателю в связи с трудовыми отношениями. По ТК РФ наниматель за разглашение персональных данных несет дисциплинарную ответственность, но то же правонарушение влечет за собой и возникновение уголовной ответственности.
Указ Президента РФ от 06.03.1997 № 188
В соответствии с Указом Президента РФ № 188 информация о частной жизни гражданина является конфиденциальной. Несанкционированный сбор и распространение таких сведений без согласия их носителя разрешаются только в случаях, которые прямо предусмотрены законом. Это расследования, рассмотрения уголовных дел и осуществление мероприятий в связи с исполнением судебного решения, когда нет других возможностей идентифицировать личность . В остальных ситуациях сбор и разглашение персональных данных является прямым нарушением ст. 23-24 Конституции РФ. Лицо, совершающее такое правонарушение, несет уголовную ответственность.
Какая статья УК РФ охраняет неприкосновенной личной жизни
Теперь разберемся, какая статья за разглашение персональных данных предусмотрена в уголовном законодательстве. Распространение таких сведений является прямым нарушением неприкосновенности личной жизни, которую гарантирует Конституция и охраняет ст. 137 УК РФ. Здесь указано, что уголовному преследованию подлежит незаконный сбор и распространение без согласия лица любых сведений о его частной жизни, составляющих личную или семейную тайну. Также запрещено разглашение такой информации в СМИ, в рамках публичного выступления или публичной демонстрации.
Что относится к понятию «личная жизнь»
Понятие «личная жизнь» охватывает все сферы жизни лица. Это любые факты, обстоятельства и события, связанные с его семьей, бытовым общением, религиозными и политическими убеждениями, увлечениями и занятиями в нерабочее время, отдыхом и другими отраслями, которые сам человек не хочет предавать гласности.
Сведения, которые относятся к понятию «личная жизнь», условно разделяются на 3 категории:
- Информация о личности (реквизиты паспорта и других удостоверяющих документов, сведения о регистрации по месту жительства или пребывания, данные о жилище и т. д.).
- Данные о членах семьи .
- Сведения, составляющие иную тайну , охраняемую законом.
Какие бывают «тайны»
Термин «личная жизнь» включает охраняемые законом тайны, среди которых выделяют следующие:
- Тайна усыновления . Ее обязаны сохранять судьи, вынесшие решение об усыновлении, должностные лица, которые провели госрегистрацию усыновления, а также все люди, осведомленные об этом факте (ст. 139 Семейного кодекса РФ).
- Врачебная тайна . В это понятие входят сведения о фактах обращения за медицинской помощью и поставленном диагнозе, а также другая информация, которая касается обследования и лечения. Все эти данные конфиденциальны и не подлежат разглашению без согласия человека, к которому они относятся (ст. 61 законодательства РФ об охране здоровья граждан).
- Налоговая тайна . Это сведения о налогоплательщике и плательщике страховых взносов, полученные налоговым или таможенным органом, органом государственного внебюджетного фонда, следователями, внутренними органами (ст. 102 НК РФ).
- Адвокатская тайна . Это любая информация, связанная с оказанием адвокатом юридических услуг своему доверителю. Сохранение адвокатской тайны - одновременно законная обязанность адвоката и один из основополагающих принципов адвокатской деятельности (ст. 8 ФЗ «Об адвокатской деятельности и адвокатуре РФ»).
- Тайна исповеди . Священнослужитель не подлежит ответственности при отказе давать показания по поводу обстоятельств, которые он узнал на исповеди (п. 7 ст. 3 ФЗ № 125).
- Личная тайна . Это любая информация о фактах и событиях в жизни человека, об обстоятельствах его судьбы, которые он стремится сохранить в секрете от других лиц.
- Семейная тайна . Это любая информация, которая каким-либо образом касается членов семьи человека и которую он стремится скрыть от других людей.
Квалифицирующие признаки нарушения ст. 137 УК РФ
Согласно ст. 137 УК РФ, разглашение персональных данных квалифицируется как уголовное правонарушение, если одновременно соблюдаются следующие условия:
- сбор и/или распространение сведений проводится незаконно;
- нет согласия носителя личной информации на ее сбор и распространение.
Публичность - не обязательный признак правонарушения. Уголовная ответственность наступает уже при передаче конфиденциальных сведений хотя бы одному лицу.
Наказания по статье 137 УК РФ
За разглашение персональных данных статья 137 УК РФ предполагает разные виды наказаний - от штрафа до лишения свободы.
Минимальное наказание, если нет отягчающих обстоятельств, - штраф до 200 тыс. руб. либо в размере зарплаты или иного дохода за срок до 1,5 лет.Промежуточное наказание - привлечение к обязательным работам на срок до 360 часов, к исправительным работам на срок до 1 года, к принудительным работам на срок до 2 лет либо арест на срок до 4 месяцев.
Максимальное наказание по ст. 137 УК РФ - 2 года лишения свободы.
Наказание для лиц, допустивших разглашение в связи со служебным положением
В ч. 2 ст. 137 УК РФ предусмотрено наказание за разглашение личных данных, совершенное лицами с использованием своего служебного положения. В данном случае предполагается более суровая ответственность. Суд вправе назначить виновному:
- Штраф в размере от 100 тыс. руб. до 300 тыс. руб. либо в размере зарплаты или другого дохода за 1-2 года.
- Запрет заниматься определенным видом деятельности или работать в определенных должностях на протяжении 2-5 лет.
- Принудительные работа на срок до 4 лет - в качестве самостоятельной меры наказания либо вместе с дополнительным наказанием из п. 2.
- Арест на срок до полугода.
- Лишение свободы на срок до 4 лет - вместе с дополнительным наказанием из п. 2.
В случаях, когда назначается дополнительное наказание (п. 3 и п. 5), оно начинает течь лишь после отбытия основного наказания. Это требование ч. 4 ст. 47 УК РФ.
История
- Кто сказал моей жене размер зарплаты?! - бушевал в коридоре сотрудник. - Да я сейчас в прокуратуру пойду, вы не имели право это делать!
На шум выглянул директор.
- Что мы не имели права делать?
- Сообщать жене мою настоящую зарплату!
- А кто сообщил?
- Не знаю! Не признается добровольно, пускай прокурор выясняет! Сумма-то ей откуда-то стала известна!
Вскоре выяснилось, что информацию разгласила секретарь директора.
- Ну я же не знала, что это жена, - оправдывалась девушка. - Она представилась работницей банка, оттуда же все время звонят, поданные сведения уточняют…
- И ты вот так всем без разбора отвечаешь? - удивилась главбух.
- Ну да…
- Надо либо прекратить отвечать на телефонные звонки банков, предупредив об этом сотрудников, либо менять форму заявления о предоставлении сведений о зарплате. Вставить туда согласие работника на разглашение конкретной информации по телефону любому человеку, представившемуся сотрудником определенного банка. Согласится - берет ответственность за передачу информации на себя, не согласится - отказываемся разговаривать с банками, опять- таки за последствия данного решения будет отвечать работник. Копии будем передавать Валентине. Нет разрешения - нет разговора.
Секретарша кивнула.
- Ну а за мою жену кто ответит?!
- Жена чья? - спросил директор. - Может, ты семейные проблемы без нас решишь?
- Нет, это уже не семейная проблема! Нарушили закон - отвечайте, как руководитель организации!
- И сильно реальная сумма отличается от озвученной жене? - спросила бухгалтер.
- На четверть.
- Дайте мне ее телефон.
- Это еще зачем?!
- Ну, вы же просили разрешить конфликт.
Работник, подозрительно косясь по сторонам, продиктовал номер, имя и отчество жены.
- Марина Евгеньевна, добрый день. С вами говорит главный бухгалтер с работы вашего мужа. Я хочу принести извинения за нашего секретаря. Она, по излишней доброте, называет представителям банков зарплаты сотрудников несколько выше реальных. Благодаря вам и Алексею Максимовичу нам это стало известно, за что вам и ему отдельное спасибо. Больше у нас такое не повторится… Да, и вам всего хорошего.
- Она же теперь решит, что у меня с вами роман! - схватился за голову сотрудник.
- Ой, извините… За зарплату спасибо, но вы же ее не знаете…
- Надеюсь, у нас еще не приняли закон, обязывающий лично знакомиться с супругами работников? И остальные семейные проблемы ты в состоянии решить сам?
- Постараюсь….
Шпаргалка
Проверять соблюдение работодателем требований к работе с персональными данными могут ГИТ и Роскомсвязьнадзор. Трудовая инспекция проверяет только соответствие нормам, указанным в главе 14 ТК . Нарушения, выявленные инспектором, подпадают под действие частей 1 и 2 ст. 5.27 КоАП. Для должностного лица предусмотрен штраф от 1000 до 5000 руб., за повторное нарушение - штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет. Срок давности - один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ).
Представители Роскомсвязнадзора при выявлении нарушений руководствуются ст. 13.11 КоАП. В частности, разглашение информации о заработной плате и иных доходах гражданина влечет наложение штрафа на должностное лицо в размере от 10 000 до 20 000 рублей; на организацию - от 15 000 до 75 000 рублей.
Срок давности для административной ответственности перед Роскомсвязьнадзором - три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ).
Помимо административной ответственности на работника можно возложить материальную (ст. 238 ТК), дисциплинарную (вплоть до увольнения по пп. «в» п. 6 ст. 81 ТК - разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника), а на руководителя и главного бухгалтера организации - еще и уголовную (ст. 137 УК).
Для предотвращения нарушений необходимо:
- строго регламентировать порядок работы с персональными данными работников;
- обеспечить защиту конфиденциальной информации (как на бумажных, так и на электронных носителях);
- брать у сотрудников письменное согласие на обработку персональных данных, а также разрешение на их передачу. Данные документы должны содержать предельно конкретную информацию! Без согласия работника информацию можно передавать только в случаях, установленных законодательством (например, представителям правоохранительных органов);
- документы с данными сотрудника выдавать только по его письменному заявлению и с соблюдением установленных сроков;
- вести специальный журнал учета запросов и получения работниками документов, содержащих их персональные данные.
Виды ответственности за распространение персональных данных
Чтобы гарантировать отсутствие утечек, российское законодательство предусматривает ответственность за разглашение персональных данных.
Состав личной информации
Сведения, носящие личный характер, определены в ст. 3 ФЗ «О персональных данных». Под ними подразумевается информация, которая относится к определенному гражданину. В рамках трудовых отношений речь идет о следующих данных:
- о полном имени сотрудника (ФИО);
- о реквизитах документов гражданина (ИНН, страховых свидетельств, паспортов и других);
- о наличии определенного образования;
- о размере получаемых доходов;
- о месте, в котором проживает работник;
- о членах семьи сотрудника;
- о дате и населенном пункте, в котором он родился.
Вся перечисленная информация не должна передаваться другим лицам без согласия работника на обработку его персональных данных.
Ответственность за распространение персональных данных
Правовые основы применения различных взысканий за несанкционированную передачу личной информации заложены в ст. 23 и 24 Конституции РФ. Она предусматривает право граждан на неприкосновенность частной жизни и запрет на работу с персональными данными без их согласия. Именно по этой причине его следует получать у соискателей работы и у действующих сотрудников. Понятие частной жизни детализировано в определении Конституционного суда РФ N 12-53-О от 28 июня 2012 года. Речь идет о сведениях, относящихся к отдельному гражданину, которые касаются исключительно его и не подлежат общественному или государственному контролю.
Другой базовой нормой, устанавливающей ответственность за разглашение персональных данных гражданина, является ст. 24 закона N ФЗ-152. На основании указанных правил нарушители подвергаются административным, дисциплинарным и уголовным наказаниям.
Привлечение к уголовной ответственности
Наиболее суровое наказание предусмотрено для случаев, когда распространение личной информации носит преступный характер. Уголовная ответственность за разглашение персональных данных устанавливается в ст. 137 УК РФ. Ч.1 устанавливает способы следующие совершения правонарушений:
- размещение информации о частной жизни в СМИ;
- разглашение сведений в произведении, которое демонстрируется другим лицам;
- любое иная публичная демонстрация персональных данных в ходе выступления.
Любой из указанных способов предполагает распространение сведений среди неограниченного круга лиц в нарушение закона .
Фактором, необходимым для инициирования уголовного преследования, является отсутствие согласия гражданина. Нарушителю грозит штраф до 200 тыс. рублей (альтернативой будет изъятие суммы, эквивалентной полуторагодовому доходу преступника). Другим наказанием служат обязательные работы (максимальный срок составляет 360 часов) или исправительные работы (до года) или принудительные работы (не более 2 лет). Нарушителя могут подвергнуть аресту на период 2 – 4 месяца или лишить свободы на срок до 2 лет. В ряде случаев существует риск дополнительного наказания в виде 3-летней дисквалификации.
Обратите внимание: соблюдать тайну персональных данных работников обязаны все лица, которые имеют к ним доступ в связи с исполнением своих служебных обязанностей. То есть наказать за разглашение такой информации могут не только директора предприятия, но и сотрудника отдела кадров, бухгалтера, начальника отдела и т.д.
Преступник, использовавший свое служебное положение для сбора и распространения информации (руководитель компании или уполномоченный сотрудник кадровой службы), получит более суровое наказание (ч. 2 ст. 137 УК РФ):
- Штраф будет находиться в пределах 100 – 300 тыс. рублей или составлять доход нарушителя за период от 1 до 2 лет.
- Дисквалификация может применяться в качестве основного наказания и продолжаться от 2 до 5 лет.
- Максимальный период ареста составляет полгода.
- Принудительные работы могут назначаться на срок до 4 лет.
- Потенциальный период лишения свободы также составляет 4 года.
2 последних вида наказания могут дополняться 5-летней дисквалификацией.
Ч. 3 ст. 137 УК не касается отношений работодателя и персонала (в ней речь идет о распространении сведений о потерпевших, являющихся подростками).
Административная ответственность
Для ряда нарушителей предусматривается административная ответственность. Распространение персональных данных без согласия работника влечет наказание по 13.14 КоАП РФ. Эти правила применяются по остаточному принципу: речь идет только о случаях, не являющихся преступлениями.
Основным контролирующим ведомством по вопросам защиты персональных данных является Роскомнадзор РФ. Эта служба отвечает за организацию надзора за обработкой и защиту персональных данных граждан. С 1 июля 2017 года право возбуждать дела по админ нарушениям возлагается на должностных лиц Роскомнадзора (до этого времени таким правом обладал только прокурор).
Если разглашение не носит публичный характер (связано с передачей сведений ограниченному числу получателей информации), то допустившее его лицо будет обязано уплатить штраф. Размер взыскания отличается в зависимости от статуса нарушителя:
- для граждан он находится в пределах 500 – 1000 рублей;
- должностным лицам, к которым приравниваются адвокаты, придется оплатить от 4 до 5 тыс. рублей.
Ответственность за разглашение персональных данных работника дополняется наказанием за нарушение порядка обращения с ними (ст. 13.11 КоАП РФ). Речь идет о соблюдении правил ст. 88 ТК РФ – работодатель обязан передавать информацию 3-м лицам только после письменного согласия сотрудника. Этими же правилами запрещена передача данных о работнике в коммерческих целях.
За такое нарушение возможно как получение предупреждения, так и взыскание штрафа. Для граждан он составит от 300 до 500 рублей, а должностным лицам придется уплатить 500 – 1000 рублей. Если к ответственности привлекается компания, штраф составит 5 – 10 тыс. рублей.
Контроль за соблюдением режима конфиденциальности позволит работодателю пресечь возможные нарушения и избежать риска привлечения к ответственности.
С 1 июля 2017 года ужесточили административную ответственность за неправомерное использование работодателями персональных данных работников. Федеральный закон № 13-ФЗ был принят 07.02. 2017 и вступит в силу 01.07. 2017 года. В частности, вместо одного вида появилось семь составов правонарушений. Кроме того, возросли административные штрафы. Все изменения описаны в новой редакции статьи 13.11 КоАП РФ.
- Здравствуйте, председатель снт, членом которого я являюсь на доске информации разместил персональные данные (ФИО и номер участка) собственников, которые не оплатили членские взносы. К какой отвественности я могу привлечь председателя как должностное лицо?
Штраф за нарушение законодательства о персональных данных составляет от 300 до 500 руб. для граждан, от 500 до 1 тыс. руб. для должностных лиц и от 5 тыс. до 10 тыс. руб. для юридических лиц (ст. 13.11 КоАП РФ).
В настоящее время актуальным является вопрос ответственности оператора персональных данных (ПДн) за невыполнение требований законодательства по защите персональных данных. Многие источники приводят большой перечень наказаний. Но какова реальность? Что в действительности ждет оператора персональных данных при полном игнорировании законодательства о персональных данных?
Валерий Омаров
Руководитель группы анализа и
защиты информации СОАО “ВСК"
К федеральным законам, раскрывающим ответственность за нарушения в сфере защиты персональных данных, можно отнести:
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (в ред. от 23.12.2010).
- Федеральный закон от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 07.02.2011) (с изменениями и дополнениями, вступившими в силу с 07.04.2011).
- Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 07.03.2011).
- Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ред. от 29.12.2010).
- Гражданский кодекс РФ.
Виды ответственности
Статья 24 закона № 152-ФЗ "О персональных данных" прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Рассмотрим ответственность по перечисленным законам с акцентом на ответственности за нарушения требований по защите персональных данных.
Гражданский кодекс РФ
Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение "тайны страхования". Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.
Уголовный кодекс РФ
Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272.
По ст. 137 наступает ответственность за нарушение неприкосновенности частной жизни, выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. По статье предусмотрен штраф в размере до 200 тысяч рублей или лишение свободы на срок до 2 лет. Те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают штраф в размере от 100 тысяч до лишения свободы на срок до 4 лет. Как следует из диспозиции статьи, правоприменимость статьи не зависит от наличия средств защиты персональных данных.
Статья 24 закона № 152-ФЗ "О персональных данных" прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
По ст. 140 ответственность наступает при неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. По статье предусмотрено наказание: штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.
По ст. 272 Уголовного кодекса РФ наступает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. По статье предусмотрен штраф в размере от 200 тысяч рублей или лишение свободы на срок до 2 лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, предусматривает штраф в размере от 100 тысяч или лишение свободы на срок до 5 лет.
Как следует из диспозиции статьи, правоприменимость статьи зависит от наличия средств защиты персональных данных как признака охраняемой информации. Но статья относится к лицу, совершившему неправомерный доступ, а не к оператору персональных данных. Кроме того, данная норма содержит условие, которое позволяет отнести данное правонарушение к разряду уголовно наказуемых деяний, "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
Кодекс об административных правонарушениях
Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).
Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 "О персональных данных". Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
Ст. 13.12 "Нарушение правил защиты информации" содержит три обязательных признака, только при их наличии наступает ответственность по ст. 13.12:
- Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения. Санкции по статье – это наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
- Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Санкции в этом случае – наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1 до 2 тысяч рублей; на юридических лиц – от 10 до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. То есть, если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
- Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).
Это условие рассмотрим более подробно во второй части статьи, которая будет опубликована в журнале "Информационная безопасность" № 4.