Защита персональных данных. Федеральный закон о персональных данных Незаконное использование персональных данных уголовная ответственность

"Кадровик. Кадровое делопроизводство", 2007, N 1

Ответственность за разглашение персональных данных работника

(Тематический обзор)

Конституцией РФ установлено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. ст. 23, 24 Конституции РФ). В то же время при приеме на работу от соискателя часто требуют предоставления сведений личного характера. Но кто будет нести ответственность за сохранность этих данных?

Согласно ст. 85 Трудового кодекса РФ персональными данными работника признается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Принимая на работу нового сотрудника, работодатель должен сообщить ему о целях получения персональных данных, о характере подлежащих получению персональных данных работника, а также предупредить о последствиях отказа сотрудника дать письменное согласие на получение таких сведений. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, о частной жизни, а также данные о членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ). В соответствии со ст. 24 Конституции РФ в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Работодатель при принятии решений, затрагивающих интересы сотрудника, не имеет права основываться на его персональных данных, предоставленных исключительно в результате автоматизированной обработки или электронного получения. Руководитель обязан обеспечить защиту персональных данных сотрудника от неправомерного использования или утраты. Работников следует ознакомить под расписку с документами организации, которые устанавливают порядок обработки персональных данных, а также об их правах и обязанностях в этой области, при этом сотрудники не должны отказываться от прав на сохранение и защиту тайны. Работодателям, работникам или их представителям необходимо совместно вырабатывать меры защиты личных сведений, закрепив это требование в Положении о персональных данных работника.

Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации; в правоохранительных органах; страховых агентствах; туристических и гостиничных фирмах; в некоторых подразделениях муниципальных органов самоуправления и т.д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, то есть в отделе кадров.

Вид нарушения

Предусмотренное
наказание

Чем
установлено

Нарушение порядка сбора,
хранения, использования
или распространения
персональных данных

Штраф для должностных
лиц - от 500 до
1000 руб.; для
юридических лиц -
от 5000 до 10 000 руб.

Статья 13.11
КоАП РФ

Нарушение законодательства
о труде

Штраф для должностных
лиц - от 500 до
5000 руб.; для
юридических лиц - от
30 000 до 50 000 руб.

Статья 5.27
КоАП РФ

Нарушение правил хранения
и использования
персональных данных,
повлекшее за собой
материальный ущерб
работодателю

Материальная
ответственность
работника в пределах
его среднего месячного
заработка (ст. ст. 238,
241 ТК РФ)

Статья 238 ТК
РФ

Ненадлежащее хранение и
использование
персональных данных,
повлекших за собой ущерб
работнику

Возмещение морального
вреда работнику в
денежной форме в
размерах, определенных
трудовым договором
(ст. 237 ТК РФ);
возмещение
материального ущерба
работнику в полном
объеме (ст. 235 ТК РФ)

Статья 234 ТК
РФ

Разглашение служебной
тайны, ставшей известной
работнику при выполнении
им трудовых обязанностей

Материальная
ответственность
работника;
дисциплинарная
ответственность
работника (ст. ст. 192,
195 ТК РФ) вплоть до
расторжения трудового
договора по пп. "в"
п. 6 ст. 81 ТК РФ

Пункт 7
ст. 243 ТК РФ

Нарушение
неприкосновенности
частной жизни

Уголовная
ответственность

Статья 137 УК
РФ

Неправомерный доступ к
охраняемой законом
компьютерной информации

Уголовная
ответственность

Статья 272 УК
РФ

Информация о персональных данных может быть получена (из документов и устной беседы) при заключении трудового договора между предполагаемым работником и работодателем. Статьей 65 ТК РФ определен перечень документов, предъявляемых при заключении договора:

Паспорт или иной документ, удостоверяющий личность;

Трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

Страховое свидетельство государственного пенсионного страхования;

Документы военного учета;

Документ об образовании, квалификации или наличии специальных знаний или специальной подготовки, а также иные документы, предусмотренных законодательством.

Ответственность за распространение персональных данных несет в первую очередь работодатель, а также ответственные лица: отдел кадров или работник, отвечающий за сохранность этих данных, согласно условиям трудового договора или должностной инструкции.

Работа отдела кадров любой организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов персональных данных сотрудников организаций. Эти сведения являются конфиденциальными, поскольку составляют информацию о фактах, событиях и обстоятельствах личной или семейной жизни гражданина и подлежат защите в соответствии с законом (Федеральный закон от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации"). В связи с этим отдел кадров должен обеспечить безопасность таких сведений, их защиту от угроз со стороны потенциальных злоумышленников, которые могут использовать данные в противозаконных целях.

Главное условие защиты персональных данных - четкая регламентация функций работников отдела кадров, а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность согласно федеральным законам (ст. 90 ТК РФ). К сотруднику, отвечающему за хранение персональной информации в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ, а именно замечание, выговор и увольнение. Работодатель может расторгнуть трудовой договор по своей инициативе при разглашении охраняемой законом тайны, ставшей сотруднику известной в связи с исполнением им трудовых обязанностей (пп. "в" п. 6 ст. 81 ТК РФ). Помимо этого сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности.

Так, ст. 137 УК РФ устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Защита конфиденциальных данных предусмотрена ст. 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило ее, то на него будет наложен административный штраф в размере от 40 до 50 МРОТ.

К уголовной и административной ответственности привлекаются руководитель организации, подразделения, виновный в разглашении персональных данных работника, или же другое должностное лицо, отдавшее распоряжение использовать то или иное ограничение или самостоятельно исполнившее данное распоряжение.

Н.Свиридова

Подписано в печать

Римова Наталия Владиславовна, ведущий эксперт-консультант Департамента правовой поддержки компании ПРАВОВЕСТ

Конституцией РФ установлено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются . В то же время при приеме на работу от соискателя часто требуют предоставления сведений личного характера. Но кто будет нести ответственность за сохранность этих данных?
Согласно ст. 85 Трудового кодекса РФ персональными данными работника признается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Принимая на работу нового сотрудника, работодатель должен сообщить ему о целях получения персональных данных, о характере подлежащих получению персональных данных работника, а также предупредить о последствиях отказа сотрудника дать письменное согласие на получение таких сведений. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а также данные о членстве в общественных объединениях или его профсоюзной деятельности . В соответствии со ст. 24 Конституции РФ в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Работодатель при принятии решений, затрагивающих интересы сотрудника, не имеет права основываться на его персональных данных, предоставленных исключительно в результате автоматизированной обработки или электронного получения. Руководитель обязан обеспечить защиту персональных данных сотрудника от неправомерного использования или утраты. Работников следует ознакомить под расписку с документами организации, которые устанавливают порядок обработки персональных данных, а также об их правах и обязанностях в этой области, при этом сотрудники не должны отказываться от прав на сохранение и защиту тайны. Работодателям, работникам или их представителям необходимо совместно вырабатывать меры защиты личных сведений, закрепив это требование в Положении о персональных данных работника.

Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации; в правоохранительных органах; страховых агентствах; туристических и гостиничных фирмах; в некоторых подразделениях муниципальных органов самоуправления и т. д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, то есть в отделе кадров.

Информация о персональных данных может быть получена (из документов и устной беседы) при заключении трудового договора между предполагаемым работником и работодателем. Ст. 65 ТК РФ определен перечень документов, предъявляемых при заключении договора:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
  • страховое свидетельство государственного пенсионного страхования;
  • документы военного учета;
  • документ об образовании, квалификации или наличии специальных знаний или специальной подготовки, а также иные документы, предусмотренных законодательством.
Ответственность за распространение персональных данных несет в первую очередь работодатель, а также ответственные лица: отдел кадров или работник, отвечающий за сохранность этих данных, согласно условиям трудового договора или должностной инструкции.
Работа отдела кадров любой организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов персональных данных сотрудников организаций. Эти сведения являются конфиденциальными, поскольку составляют информацию о фактах, событиях и обстоятельствах личной или семейной жизни гражданина и подлежат защите в соответствии с законом . В связи с этим отдел кадров должен обеспечить безопасность таких сведений, их защиту от угроз со стороны потенциальных злоумышленников, которые могут использовать данные в противозаконных целях.
Главное условие защиты персональных данных – четкая регламентация функций работников отдела кадров, а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность согласно федеральным законам . К сотруднику, отвечающему за хранение персональной информации в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ, а именно: замечание, выговор и увольнение. Работодатель может расторгнуть трудовой договор по своей инициативе при разглашении охраняемой законом тайны, ставшей сотруднику известной в связи с исполнением им трудовых обязанностей . Помимо этого сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности.

Так, ст. 137 УК РФ устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

В настоящее время актуальным является вопрос ответственности оператора персональных данных (ПДн) за невыполнение требований законодательства по защите персональных данных. Многие источники приводят большой перечень наказаний. Но какова реальность? Что в действительности ждет оператора персональных данных при полном игнорировании законодательства о персональных данных?

Валерий Омаров
Руководитель группы анализа и
защиты информации СОАО “ВСК"

К федеральным законам, раскрывающим ответственность за нарушения в сфере защиты персональных данных, можно отнести:

  1. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (в ред. от 23.12.2010).
  2. Федеральный закон от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
  3. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 07.02.2011) (с изменениями и дополнениями, вступившими в силу с 07.04.2011).
  4. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 07.03.2011).
  5. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ред. от 29.12.2010).
  6. Гражданский кодекс РФ.

Виды ответственности

Статья 24 закона № 152-ФЗ "О персональных данных" прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Рассмотрим ответственность по перечисленным законам с акцентом на ответственности за нарушения требований по защите персональных данных.

Гражданский кодекс РФ

Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение "тайны страхования". Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.

Уголовный кодекс РФ

Уголовный кодекс РФ предусматривает наказание по ст. 137, 140 и 272.

По ст. 137 наступает ответственность за нарушение неприкосновенности частной жизни, выражающееся в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. По статье предусмотрен штраф в размере до 200 тысяч рублей или лишение свободы на срок до 2 лет. Те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают штраф в размере от 100 тысяч до лишения свободы на срок до 4 лет. Как следует из диспозиции статьи, правоприменимость статьи не зависит от наличия средств защиты персональных данных.

Статья 24 закона № 152-ФЗ "О персональных данных" прямо определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

По ст. 140 ответственность наступает при неправомерном отказе должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. По статье предусмотрено наказание: штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

По ст. 272 Уголовного кодекса РФ наступает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. По статье предусмотрен штраф в размере от 200 тысяч рублей или лишение свободы на срок до 2 лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, предусматривает штраф в размере от 100 тысяч или лишение свободы на срок до 5 лет.

Как следует из диспозиции статьи, правоприменимость статьи зависит от наличия средств защиты персональных данных как признака охраняемой информации. Но статья относится к лицу, совершившему неправомерный доступ, а не к оператору персональных данных. Кроме того, данная норма содержит условие, которое позволяет отнести данное правонарушение к разряду уголовно наказуемых деяний, "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".

Кодекс об административных правонарушениях

Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).

Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 "О персональных данных". Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.

Ст. 13.12 "Нарушение правил защиты информации" содержит три обязательных признака, только при их наличии наступает ответственность по ст. 13.12:

  1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения. Санкции по статье – это наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
  2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Санкции в этом случае – наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1 до 2 тысяч рублей; на юридических лиц – от 10 до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. То есть, если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
  3. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).

Это условие рассмотрим более подробно во второй части статьи, которая будет опубликована в журнале "Информационная безопасность" № 4.

КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

(см. текст в предыдущей редакции)

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния -

На работодателя возложено множество функций: от выполнения обязанностей налогового агента до ведения локального воинского учета. Это требует сбора, систематизации и хранения большого количества личной информации о сотрудниках. Чтобы гарантировать отсутствие утечек, российское законодательство предусматривает ответственность за разглашение персональных данных.

Состав личной информации

Сведения, носящие личный характер, определены в ст. 3 ФЗ «О персональных данных» . Под ними подразумевается информация, которая относится к определенному гражданину. Более подробно о том, что относится к персональным данным, читайте . В рамках трудовых отношений речь идет о следующих данных:

  • о полном имени сотрудника (ФИО);
  • о реквизитах документов гражданина (ИНН, страховых свидетельств, паспортов и других);
  • о наличии определенного образования;
  • о размере получаемых доходов;
  • о месте, в котором проживает работник;
  • о членах семьи сотрудника;
  • о дате и населенном пункте, в котором он родился.

Вся перечисленная информация не должна передаваться другим лицам без .

Ответственность за распространение персональных данных

Правовые основы применения различных взысканий за несанкционированную передачу личной информации заложены в ст. 23 и 24 Конституции РФ. Она предусматривает право граждан на неприкосновенность частной жизни и запрет на работу с персональными данными без их согласия. Именно по этой причине его следует получать у соискателей работы и у действующих сотрудников. Понятие частной жизни детализировано в определении Конституционного суда РФ N 12-53-О от 28 июня 2012 года. Речь идет о сведениях, относящихся к отдельному гражданину, которые касаются исключительно его и не подлежат общественному или государственному контролю.

Другой базовой нормой, устанавливающей ответственность за разглашение персональных данных гражданина, является ст. 24 закона N ФЗ-152 . На основании указанных правил нарушители подвергаются административным, дисциплинарным и уголовным наказаниям.

Привлечение к уголовной ответственности

Наиболее суровое наказание предусмотрено для случаев, когда распространение личной информации носит преступный характер. Уголовная ответственность за разглашение персональных данных устанавливается в ст. 137 УК РФ. Ч.1 устанавливает способы следующие совершения правонарушений:

  • размещение информации о частной жизни в СМИ;
  • разглашение сведений в произведении, которое демонстрируется другим лицам;
  • любое иная публичная демонстрация персональных данных в ходе выступления.

Любой из указанных способов предполагает распространение сведений среди неограниченного круга лиц в нарушение закона.

Фактором, необходимым для инициирования уголовного преследования, является отсутствие согласия гражданина. Нарушителю грозит штраф до 200 тыс. рублей (альтернативой будет изъятие суммы, эквивалентной полуторагодовому доходу преступника). Другим наказанием служат обязательные работы (максимальный срок составляет 360 часов) или исправительные работы (до года) или принудительные работы (не более 2 лет). Нарушителя могут подвергнуть аресту на период 2 – 4 месяца или лишить свободы на срок до 2 лет. В ряде случаев существует риск дополнительного наказания в виде 3-летней дисквалификации. О других мерах уголовной ответственности за нарушение трудового законодательства узнавайте в статье .

Обратите внимание: соблюдать тайну персональных данных работников обязаны все лица, которые имеют к ним доступ в связи с исполнением своих служебных обязанностей. То есть наказать за разглашение такой информации могут не только директора предприятия, но и сотрудника отдела кадров, бухгалтера, начальника отдела и т.д.

Преступник, использовавший свое служебное положение для сбора и распространения информации (руководитель компании или уполномоченный сотрудник кадровой службы), получит более суровое наказание (ч. 2 ст. 137 УК РФ):

  • Штраф будет находиться в пределах 100 – 300 тыс. рублей или составлять доход нарушителя за период от 1 до 2 лет.
  • Дисквалификация может применяться в качестве основного наказания и продолжаться от 2 до 5 лет.
  • Максимальный период ареста составляет полгода.
  • Принудительные работы могут назначаться на срок до 4 лет.
  • Потенциальный период лишения свободы также составляет 4 года.

2 последних вида наказания могут дополняться 5-летней дисквалификацией.

Ч. 3 ст. 137 УК не касается отношений работодателя и персонала (в ней речь идет о распространении сведений о потерпевших, являющихся подростками).

Административная ответственность

Дополнительно

Основным контролирующим ведомством по вопросам защиты персональных данных является Роскомнадзор РФ. Эта служба отвечает за организацию надзора за обработкой и защиту персональных данных граждан. С 1 июля 2017 года право возбуждать дела по админ нарушениям возлагается на должностных лиц Роскомнадзора (до этого времени таким правом обладал только прокурор).

Для ряда нарушителей предусматривается административная ответственность. Распространение персональных данных без согласия работника влечет наказание по 13.14 КоАП РФ. Эти правила применяются по остаточному принципу: речь идет только о случаях, не являющихся преступлениями. Если разглашение не носит публичный характер (связано с передачей сведений ограниченному числу получателей информации), то допустившее его лицо будет обязано уплатить штраф. Размер взыскания отличается в зависимости от статуса нарушителя:

  • для граждан он находится в пределах 500 – 1000 рублей;
  • должностным лицам, к которым приравниваются адвокаты, придется оплатить от 4 до 5 тыс. рублей.

Нововведения

С 1 июля 2017 года ужесточают административную ответственность за неправомерное использование работодателями персональных данных работников. Федеральный закон № 13-ФЗ был принят 07.02. 2017 и вступит в силу 01.07. 2017 года. В частности, вместо одного вида появилось семь составов правонарушений. Кроме того, возросли административные штрафы. Все изменения описаны в новой редакции статьи 13.11 КоАП РФ.

Ответственность за работника дополняется наказанием за нарушение порядка обращения с ними (ст. 13.11 КоАП РФ). Речь идет о соблюдении правил ст. 88 ТК РФ – работодатель обязан передавать информацию 3-м лицам только после письменного согласия сотрудника. Этими же правилами запрещена передача данных о работнике в коммерческих целях.

За такое нарушение возможно как получение предупреждения, так и взыскание штрафа. Для граждан он составит от 300 до 500 рублей, а должностным лицам придется уплатить 500 – 1000 рублей. Если к ответственности привлекается компания, штраф составит 5 – 10 тыс. рублей.

Контроль за соблюдением режима конфиденциальности позволит работодателю пресечь возможные нарушения и избежать риска привлечения к ответственности.

Возник вопрос насчет ответственности за разглашение персональных данных? Задайте его в комментариях