Ответственность за разглашение персональных данных работника.

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за разглашение персональных данных работника.». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.

Персональные данные или нет?

Персональные данные – это любая информация, относящаяся к определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных). К ним относятся:

• фамилия, имя, отчество;
• пол;
• возраст;
• место жительства;
• изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
• образование, квалификация, профессиональная подготовка;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);
• деловые и иные личные качества;
• медицинские сведения;
• номер телефона;
• прочие сведения, которые могут идентифицировать работника.

Разглашение и распространение персональных данных без согласия субъекта

Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.

Примеры нарушений обработки ПДю

На примерах судебных решений рассмотрим случаи обработки ПД, содержащие состав нарушений, предусмотренных новой редакцией ст. 13.11 КоАП РФ.

Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016: адвокат в рамках оказания юридических услуг, позвонил со своего телефонного номера в банк для получения информации по задолженности клиента, с которым был заключен договор. Впоследствии представители банка стали регулярно звонить адвокату по вопросу погашения задолженности, не реагируя на требования уничтожить его персональные данные. Суд первой инстанции, куда обратился адвокат с требованием об уничтожении персональных данных и взыскании компенсации морального вреда, счел действия представителей банка неправомерными. Апелляционный суд поддержал этот вывод.

Напомним, что использование ПД, в том числе с целью совершения адресных звонков абоненту, является одним из видов обработки ПД. Данная обработка производилась без согласия субъекта: это случай, не предусмотренный Законом о ПД (санкции по п. 1 ст. 13.11 КоАП РФ – штраф для должностного лица до 10 тыс. руб., для банка до 50 тыс. руб.).

Банк посчитал: поскольку персональные данные адвоката (в том числе номер его телефона) размещены в открытом доступе, то есть в Интернете, согласие на их обработку не требуется. Суд указал, что телефонный номер адвоката был размещен в Сети в целях оказания юридических услуг, в то время как банк воспользовался его персональными данными с другой целью, а именно с целью доведения до заемщика через адвоката информации в связи с задолженностью по кредиту, – санкции по п. 1 ст. 13.11 КоАП РФ.

Мы видим другое нарушение: в силу ч. 1 ст. 14 Закона о ПД субъект вправе требовать от оператора уничтожения его персональных данных в случае, если персональные данные являются незаконно полученными, а также принимать предусмотренные законом меры по защите своих прав. Банк не отреагировал на требование адвоката и продолжал использовать персональные данные субъекта, что может быть расценено как нарушение п. 5 ст. 13.11 КоАП РФ (штраф для должностного лица до 10 тыс. руб., для организации – до 45 тыс. руб.).

Постановление Волгоградского областного суда от 15.04.2011 по делу № 7а-391/11: при проверке колледжа прокуратурой было выявлено, что в организации отсутствуют документы об установлении мест хранения персональных данных, перечня мер, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним, не определен круг лиц, ответственных за реализацию вышеуказанных мер. Должностное лицо было оштрафовано на 500 руб. по ст. 13.11 КоАП РФ. По новым нормам это нарушение п. 6 ст. 13.11 КоАП РФ, предусматривающее штраф для должностных лиц до 10 тыс. руб., для организаций – до 50 тыс. руб.

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Ответственность за нарушения по персональным данным

Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ).

До 1 июля 2017 года размеры штрафов за нарушение закона о персональных данных составляют:

• для юридических лиц – от 5 тыс. до 10 тыс. руб.;
• для должностных лиц – от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.

Как защитить персональные данные

Для защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать?

Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.

Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.

1. Ограничьте доступ сотрудников к компьютерам.

2. Введите систему индивидуальных паролей. Их нужно периодически менять.

3. Храните диски и другие носители информации в запирающихся шкафах.

4. Закрепите процедуру защиты информации в положении.

Требования к работодателю по обработке и передаче персональных данных

Статья 86 Трудового Кодекса РФ обязывает работодателя обрабатывать персональные данные работника исключительно в служебных целях: содействие подчиненным в продвижении по службе, получение ими образования, а также обеспечения личной безопасности сотрудников и контроль за качеством и количеством выполняемой ими работы.

Источником получения информации о персональных данных работника должен являться непосредственно он сам.
В исключительных случаях возможно истребование таких данных у третьих лиц, но опять же только с письменного согласия носителя. При этом работник должен быть предупрежден о последствиях отказа в предоставлении данных о себе под расписку.

Сведения, составляющие персональные данные специальной категории, получению и обработке при трудоустройстве не подлежат.

Согласие работника обязательно и при передаче его персональных данных третьим лицам. Исключение составляют лишь случаи, когда разглашение такой информации необходимо в целях предупреждения угрозы здоровью работника. При этом статья 88 Трудового Кодекса РФ запрещает передавать персональные данные в коммерческих целях.

Порой работники отказываются от сохранения в тайне и защиты личной информации о себе. Кто-то делает это под давлением руководителя, кто-то, напротив, из соображений доверия. Однако какой бы ни была причина отказа, он в любом случае незаконен, поскольку прямо противоречит конституционным нормам.

Меры материальной ответственности

В случае незаконного распространения директором личных сведений собственных подчиненных, в его отношении может быть установлена материальная ответственность. В подобной ситуации на директора могут быть возложены следующие виды компенсаций:

• выплата денежной компенсации за причиненный сотруднику материальный ущерб. Точный размер такой выплаты всегда определяется в индивидуальном порядке. Окончательная сумма будет зависеть от различных факторов, например, от степени серьезности совершенного работодателем нарушения, от ущерба, который был причинен служащему и т.д.;
• выплата дополнительной денежной компенсации за причиненный подчиненному моральный ущерб. Данный вид ущерба представляет собой оплату психологических страданий, которые стали следствием допущенных другой стороной нарушений. Размер такой компенсации также рассчитывается индивидуально. Важным нюансом здесь будет являться тот факт, что получить такую выплату заявитель сможет лишь в судебном порядке. В иске им может быть указана абсолютно любая сумма морального вреда. Суд, в свою очередь, вправе удовлетворить выплату этой суммы полностью либо только частично.

Ответственность за нарушения при работе с персональными данными

Согласно законодательству Российской Федерации при нарушении защиты персональных возможно привлечение работодателя к разным видам ответственности:

Ответственность за нарушения по персональным данным

Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2021 г. № 13-ФЗ).
До 1 июля 2021 года размеры штрафов за нарушение закона о персональных данных составляют:

• для юридических лиц – от 5 тыс. до 10 тыс. руб.;
• для должностных лиц – от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2021.

* Если не предусмотрена уголовная ответственность
Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Все сайты должны опубликовать Политику конфиденциальности

Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:

«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

Однако не забывайте о возможных исключениях из данного правила.

Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

Соблюдение законодательcтва о защите персональных данных

Напомним, что проводить проверки соблюдения требований законодательcтва о защите персональных данных могут три органа — Роскомнадзор, ФСТЭК России и ФСБ России, при этом:

• Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) — осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства;
• ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств;
• ФСБ России (Федеральная служба безопасности РФ) — осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации Несомненно, что в первую очередь операторов коснутся проверки Роскомнадзора.

Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

• сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

• штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

• штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Комментарий к статье 90 ТК РФ:

1. Статья 90 ТК РФ гласит, что работники организации, не обеспечившие сохранность персональных данных работников, могут привлекаться работодателем как к дисциплинарной, так и к материальной ответственности.

Разглашение персональных данных работника является основанием расторжения трудового договора по инициативе работодателя с работником, разгласившим эти сведения, в соответствии с подп. «в» п. 6 ч. 1 ст. 81 ТК.

О дисциплинарных взысканиях и порядке их применения см. коммент. к ст. ст. 192, 193, о материальной ответственности см. коммент. к ст. ст. 238, 241.

2. Работодатели, уклоняющиеся от представления предусмотренных Законом об индивидуальном учете достоверных и в полном объеме сведений, несут ответственность в соответствии с законодательством РФ.

За непредставление в установленные сроки сведений, необходимых для осуществления индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования, либо представление неполных и (или) недостоверных сведений к работодателям применяются финансовые санкции в виде взыскания 10% причитающихся за отчетный год платежей в Пенсионный фонд РФ. Взыскание указанной суммы производится органами Пенсионного фонда РФ в судебном порядке (см. ст. 17 Закона об индивидуальном учете).

Руководители, а также должностные лица органов Пенсионного фонда РФ, участвующие в сборе, хранении, передаче и использовании сведений, содержащихся в индивидуальных лицевых счетах застрахованных лиц, обязаны обеспечить исполнение законодательства РФ по вопросам защиты конфиденциальной информации (персональных данных). Виновные в незаконном ограничении доступа к указанным сведениям или нарушении режима защиты информации несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях (см. ст. 17 Закона об индивидуальном учете).

3. Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством РФ (ч. 2 ст. 14 Закона о коммерческой тайне).

Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности (ст 90 ТК РФ).

Органы государственной власти, иные государственные органы, органы местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну, несут перед обладателем информации, составляющей коммерческую тайну, гражданско-правовую ответственность за разглашение или незаконное использование этой информации их должностными лицами, государственными или муниципальными служащими указанных органов, которым она стала известна в связи с выполнением ими должностных (служебных) обязанностей (ч. 3 ст. 14 Закона о коммерческой тайне).

4. О привлечении должностных лиц к административной ответственности за нарушение законодательства о труде см. ст. 5.27 КоАП.

Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации влечет наложение административного штрафа на должностных лиц в размере от 500 до 1000 руб. (ст. 5.39 КоАП).

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц — от 500 до 1000 руб.; на юридических лиц — от 5 тыс. до 10 тыс. руб. (см. ст. 13.11 КоАП).

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев недобросовестной конкуренции, влечет наложение административного штрафа на граждан в размере от 500 до 1000 руб.; на должностных лиц — от 4 тыс. до 5 тыс. руб. (см. ст. 13.14 КоАП).

5. Согласно ст. 137 УК незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до 1 года, либо арестом на срок до 4 месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо арестом на сро�� от 4 до 6 месяцев.

Уголовным кодексом предусмотрена ответственность за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183), за неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Похожие записи:

• Какие пособия и выплаты от государства положены на третьего ребенка
• Надбавка к пенсии инвалидам 2 группы в 2023 году какая будет
• КС освободил военных пенсионеров, являющихся ИП, от страховых взносов в ПФ