Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за разглашение персональных данных работника.». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Объективная сторона рассматриваемого правонарушения заключается в нарушении установленного законом порядка сбора, хранения, использования или распространения персональных данных. В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Определения сбора и хранения персональных данных Закон не содержит, однако устанавливает, что под обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Комментарии к ст. 13.11 КОАП РФ
1. Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» информация о гражданах (персональные данные) определяется как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ч. 1 ст. 3 указанного Закона). Свойства данной информации — обеспечивать идентификацию конкретного лица — предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных (для статистических или иных научных целей), а также в отношении общедоступных персональных данных (ч. 3 ст. 6, ст. 7). Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.
Такая защита обеспечивается в первую очередь путем установления конституционного запрета осуществлять сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также требованием судебного решения для ограничения тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. ст. 23 и 24 Конституции РФ). Статьей 19 Конституции РФ запрещаются также любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.
Федеральный закон » О персональных данных» рассматривает согласие субъекта персональных данных на обработку сведений о его частной жизни в числе одного из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, включая информацию персонального характера.
Из данного основополагающего принципа согласия могут иметь место исключения, предусмотренные в законодательном порядке, в том числе в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, оперативно-розыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, а также в случаях, связанных с медицинскими и медико-профилактическими целями (п. п. 2 — 7 ч. 2 и ч. 3 ст. 10, ч. 2 ст. 11, п. п. 2 — 5 ч. 3 ст. 12 Федерального закона «О персональных данных»).
2. Комментируемая статья закрепляет в качестве основания применения административной ответственности нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Упомянутый Федеральный закон регулирует данный порядок, устанавливая принципы и условия обработки персональных данных (ст. 5, ч. 1 ст. 6; ст. ст. 9 — 13), обеспечивающие, в том числе порядок реализации права субъекта данных на согласие; порядок осуществления иных прав субъекта персональных данных, включая право на доступ субъекта к своим персональным данным (ст. 14); права субъекта данных при обработке его персональных данных (ст. ст. 15 — 16); право на обжалование действий или бездействия оператора (ст. 17); обязанности оператора по обработке персональных данных (ст. ст. 18 — 22).
3. Объектами административных правонарушений являются общественные отношения, складывающиеся в области защиты информации. Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).
4. Субъектами правонарушений могут быть граждане, должностные, юридические лица, умышленно или по неосторожности допускающие указанные нарушения.
Законодательство РФ устанавливает обязанности представителей определенных профессий (врачей, адвокатов, нотариусов и др.) по сохранению в тайне полученной информации и указывает на уголовную, гражданскую и административную ответственность за разглашение таких сведений. УК РФ и ГК РФ предусматривают такую ответственность (см. ст. ст. 137, 138, 155 УК РФ, ст. 152 ГК РФ).
Помимо комментируемой статьи, КоАП РФ предусматривает также ответственность граждан и должностных лиц за нарушение правил защиты информации (ст. 13.12), за разглашение информации с ограниченным доступом (ст. 13.14), а также ответственность должностных лиц за отказ в предоставлении информации (ст. 5.39).
5. Дела о правонарушениях, предусмотренных комментируемой статьей, возбуждаются прокурорами (ч. 1 ст. 28.4) и рассматриваются судьями (ч. 1 ст. 23.1).
Примеры нарушений обработки ПДю
На примерах судебных решений рассмотрим случаи обработки ПД, содержащие состав нарушений, предусмотренных новой редакцией ст. 13.11 КоАП РФ.
Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016: адвокат в рамках оказания юридических услуг, позвонил со своего телефонного номера в банк для получения информации по задолженности клиента, с которым был заключен договор. Впоследствии представители банка стали регулярно звонить адвокату по вопросу погашения задолженности, не реагируя на требования уничтожить его персональные данные. Суд первой инстанции, куда обратился адвокат с требованием об уничтожении персональных данных и взыскании компенсации морального вреда, счел действия представителей банка неправомерными. Апелляционный суд поддержал этот вывод.
Напомним, что использование ПД, в том числе с целью совершения адресных звонков абоненту, является одним из видов обработки ПД. Данная обработка производилась без согласия субъекта: это случай, не предусмотренный Законом о ПД (санкции по п. 1 ст. 13.11 КоАП РФ – штраф для должностного лица до 10 тыс. руб., для банка до 50 тыс. руб.).
Банк посчитал: поскольку персональные данные адвоката (в том числе номер его телефона) размещены в открытом доступе, то есть в Интернете, согласие на их обработку не требуется. Суд указал, что телефонный номер адвоката был размещен в Сети в целях оказания юридических услуг, в то время как банк воспользовался его персональными данными с другой целью, а именно с целью доведения до заемщика через адвоката информации в связи с задолженностью по кредиту, – санкции по п. 1 ст. 13.11 КоАП РФ.
Мы видим другое нарушение: в силу ч. 1 ст. 14 Закона о ПД субъект вправе требовать от оператора уничтожения его персональных данных в случае, если персональные данные являются незаконно полученными, а также принимать предусмотренные законом меры по защите своих прав. Банк не отреагировал на требование адвоката и продолжал использовать персональные данные субъекта, что может быть расценено как нарушение п. 5 ст. 13.11 КоАП РФ (штраф для должностного лица до 10 тыс. руб., для организации – до 45 тыс. руб.).
Постановление Волгоградского областного суда от 15.04.2011 по делу № 7а-391/11: при проверке колледжа прокуратурой было выявлено, что в организации отсутствуют документы об установлении мест хранения персональных данных, перечня мер, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним, не определен круг лиц, ответственных за реализацию вышеуказанных мер. Должностное лицо было оштрафовано на 500 руб. по ст. 13.11 КоАП РФ. По новым нормам это нарушение п. 6 ст. 13.11 КоАП РФ, предусматривающее штраф для должностных лиц до 10 тыс. руб., для организаций – до 50 тыс. руб.
Комментарий к ст. 13.11 КоАП РФ
Комментируемая ст. 13.11 КоАП РФ устанавливает административную ответственность за распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера.
Отметим, что предыдущая редакция ст. 13.11 КоАП РФ устанавливала административную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Новая редакция содержит семь составов административных правонарушений, дифференцированных по конкретным обязанностям оператора персональных данных, за неисполнение которых наступает административная ответственность.
Объектом правонарушения по ст. 13.11 КоАП РФ являются общественные отношения, связанные с интересом личности в информационной сфере. Дополнительным объектом являются правоотношения в сфере защиты информации. Непосредственным объектом правонарушения является право лица (субъекта персональных данных) на неприкосновенность частной жизни, личную и семейную тайну, а также право на защиту его персональных данных, закрепленное в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ).
К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
С субъективной стороны правонарушения ч. ч. 1 и 2 могут быть совершены только умышленно, остальные правонарушения — как умышленно, так и по неосторожности.
Возбуждение дел об административных правонарушениях по ст. 13.11 с 1 июля 2017 года уполномочены осуществлять должностные лица Роскомнадзора.
Субъектом рассматриваемых правонарушений являются операторы персональных данных, их должностные лица. В роли операторов персональных данных могут выступать граждане, индивидуальные предприниматели, юридические лица, государственные и муниципальные органы. Субъектом правонарушения по ч. 7 ст. 13.11 КоАП РФ являются должностные лица государственных и муниципальных органов.
Уголовная ответственность за разглашение персональных данных
Статья 137 Уголовного кодекса РФ посвящена нарушению персональных данных. Во-первых, состав преступления образуют действия как по незаконному сбору, так и по распространению сведений о частной жизни лица без его согласия. Это может быть семейная тайна, личная. А распространение — любые действия, в том числе в публичном выступлении, произведении или СМИ. Ответственность — штраф до 200 000 руб., либо обязательные работы (до 360 часов), принудительные работы (до 2 лет) с лишением права занимать определенные должности (до 3 лет), арест до 4 месяцев. Либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности (до 3 лет).
Если сведения стали нарушителю доступны в связи с определенной службой, то наказание ужесточается. Равно как и публичное распространение сведений о лице, не достигшем 16 лет. Но не просто персональных данных о несовершеннолетнем, но описание полученных им в связи с преступлением физических или нравственных страданий, а также данных, указывающих на его личность по уголовному делу.
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.
Сторона, получающая личные сведения, обязана:
- заручиться согласием их владельца на обработку и использование;
- обеспечивать конфиденциальность;
- хранить документ, подтверждающий, что владелец разрешил работать с ними.
ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
Компенсация за утечку сведений
На основании ст. 24 ФЗ № 152, в случае утечки различных персональных данных соответствующий моральный вред, причиненный конкретному лицу, подлежит обязательному возмещению в виде денежных выплат. В этом случае потерпевшему выплачивается компенсация морального вреда.
Важно! При установлении размера такой компенсации суд учитывает степень вины правонарушителя и иные существенные обстоятельства по делу. Также суд обращает внимание на состояние здоровья потерпевшего.
Разглашение (распространение) различных персональных данных является преступным деянием. За такое преступление предусмотрена различная гражданско-правовая, административная, дисциплинарная или уголовная ответственность. В подобной ситуации в случае получения материального или морального ущерба законодательством РФ предусмотрена выплата потерпевшему соответствующей компенсации морального вреда.
Часть 3 отличается от предыдущих частей более конкретной диспозицией. В соответствии с ней преступлением является разглашение данных о личности несовершеннолетнего (младше 16 лет) потерпевшего по уголовному делу либо о его травмах и нравственных страданиях, причинённых в результате преступления.
При этом разглашение должно иметь публичный характер:
Знаете ли ВыУголовная ответственность за разглашение коммерческой тайны подразумевает штрафы в пределах 500 000 — 1 500 000 рублей,
исправительные или принудительные работы или лишение свободы на срок от 3 до 7 лет.
Что такое персональные данные
Согласно нормам действующего законодательства (ст. 3 Закона о персональных данных) под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу – субъекту этих данных. Такой информацией может быть:
- фамилия имя отчество, включая прежние;
- гражданство;
- дата и место рождения;
- адрес места жительства, включая место регистрации;
- семейное положение;
- имущественное и социальное положение;
- образование;
- профессия и специальность;
- номера контактных телефонов;
- сведения об имуществе и имущественных обязательствах;
- сведения о доходах.
Что такое персональные данные и конфиденциальность
Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.
Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.
Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.
Куда жаловаться на нарушение закона о персональных данных
Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?
Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.
Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.
Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.
Ответственность за нарушения по персональным данным
Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2021 г. № 13-ФЗ).
До 1 июля 2021 года размеры штрафов за нарушение закона о персональных данных составляют:
- для юридических лиц – от 5 тыс. до 10 тыс. руб.;
- для должностных лиц – от 500 до 1 тыс. руб.
Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2021.
Вид нарушения | Размер штрафа | |
для юридических лиц | для должностных лиц | |
Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. | От 30 тыс. до 50 тыс. руб. | От 5 тыс. до 10 тыс. руб. |
Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных | От 15 тыс. до 50 тыс. руб. | От 3 тыс. до 10 тыс. руб. |
* Если не предусмотрена уголовная ответственность
Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).
Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).
Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.
Как защитить персональные данные
Для защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать?
Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.
Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.
1. Ограничьте доступ сотрудников к компьютерам.
2. Введите систему индивидуальных паролей. Их нужно периодически менять.
3. Храните диски и другие носители информации в запирающихся шкафах.
4. Закрепите процедуру защиты информации в положении.
Персональные данные — это любые сведения о физическом лице
На первый взгляд так и есть.
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).
Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.
Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.
Персональные данные работника в 2020 году: инструкция — Институт Профессионального Кадровика
16 Сентября
1004
#CNT# data-template-html-inactive=В избранное #CNT#>
Работодатель сталкивается с вопросом о персональных данных постоянно.
Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные.
Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.
Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.
Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.
Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.
О персональных данных в российском правовом поле информируют:
- Конституция России.
- Трудовой кодекс.
- Федеральный закон «О персональных данных» №152-ФЗ.
- Кодекс об административных правонарушениях.
- Уголовный кодекс.