Федеральный закон о персональных данных. Закон о разглашении третьим лицам персональных данных Неправомерное использование персональных данных ук рф

«Разглашение персональных данных 137 УК РФ»- весьма распространенный поисковый запрос, популярность которого обусловлена в первую очередь развитием социальных сетей и прочих ресурсов, предоставляющих доступ к личной информации пользователей. На чем основана уголовно-правовая защита персональных данных, подробно изложено в нашей статье.

Что такое персональные данные с точки зрения УК РФ

Согласно п. 1 ст. 3 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ персональными данными признается любая информация, так или иначе относящаяся к физическому лицу и позволяющая идентифицировать его. Иными словами, это может быть все что угодно — от фамилии человека до его антропометрических особенностей.

Указом Президента РФ от 06.03.1997 № 188 информация о частной жизни гражданина отнесена к сведениям конфиденциального характера, следовательно, разглашению и несанкционированному сбору не подлежит.

Уголовно-правовая защита такого рода сведений реализована в ст. 137 УК РФ. Название нормы позволяет распространить ее на все виды сведений о фактах, обстоятельствах и событиях частной жизни гражданина.

Таким образом, к понятию «частная жизнь», неприкосновенность которой охраняет ст. 137 УК РФ, можно отнести следующую информацию о человеке:

  • данные непосредственно о самой личности, включая реквизиты удостоверяющих документов, сведения о месте пребывания (проживания) человека и его жилище;
  • данные о родственниках и иных близких людях;
  • сведения, составляющие иную тайну, охраняемую законом (информацию о вкладах и счетах в кредитных организациях, об усыновлении, содержание телефонных переговоров, переписки (в том числе электронной), телеграфных сообщений, факт составления и содержание завещания и т. д.).

Кроме того, в эту же категорию входят сведения, отнесенные к налоговой, адвокатской, врачебной тайне, информация, полученная в ходе исповеди (тайна исповеди).

Сбор таких сведений и тем более разглашение без согласия их носителя возможны только в случаях, прямо предусмотренных законом. Например, в рамках расследования или рассмотрения уголовного дела, в ходе исполнения судебного решения и т. д.

В иных ситуациях сбор и распространение данных о частной жизни есть прямое нарушение ст. 23-24 Конституции РФ. Лицо, допустившее такое нарушение, рискует подвергнуться уголовному преследованию.

Важно! На разглашение некоторых сведений, отнесенных к тайне, могут распространяться иные, более узкие нормы УК РФ. Так, например, ответственность за нарушение тайны усыновления должностным лицом, обязанным сохранять ее конфиденциальность, наступает по ст. 155 УК РФ.

Признаки уголовно наказуемого деяния по статье 137 УК РФ

Согласно диспозиции ст. 137 УК РФ уголовная ответственность за разглашение персональных данных наступает в случае, если одновременно имеют место:

  • незаконность сбора и (или) распространения информации;
  • отсутствие согласия ее носителя на сбор или разглашение.

При этом норма предусматривает так называемую альтернативную диспозицию, признавая уголовно наказуемым, помимо указанных выше действий, также распространение сведений о частной или семейной жизни человека посредством СМИ, в публичном выступлении или публично демонстрирующемся произведении (в том числе художественном).

Иными словами, публичность не является обязательным признаком преступления, это всего лишь его частный случай. Для наступления уголовной ответственности достаточно передачи конфиденциальных данных 1 лицу.

На этот счет существует весьма обширная судебная практика. В частности, апелляционным определением судебной коллегии по уголовным делам Тамбовского областного суда от 20.08.2015 по делу № 33-2375/2015 оставлен без изменения обвинительный приговор по ч. 2 ст. 137 УК РФ в отношении врача-нарколога, сообщившего сведения о диагнозе пациента третьему лицу.

Квалифицирующие признаки

Отягченные составы ст. 137 УК РФ содержатся во 2-й и 3-й ее частях.

Так, ч. 2 предусматривает ответственность за разглашение конфиденциальной информации о личности лицом, использовавшим для этого свое служебное положение. В качестве примера вновь можно привести врача, нарушившего врачебную тайну.

Для квалификации преступления по ч. 2 ст. 137 УК РФ решающее значение имеет содержание нормативно-правовых актов, регламентирующих профессиональную деятельность виновного. Например, в силу ФЗ «Об охране здоровья граждан в РФ» от 21.11.2011 № 323-ФЗ врачебную тайну составляют абсолютно любые данные об обращении за медицинской помощью, диагнозе, ходе и результатах обследования и лечения и т. д.

Важно! Соблюдать эти сведения в тайне обязаны все лица, располагающие ими в связи с исполнением своих служебных обязанностей. То есть наказать за незаконное разглашение такой информации можно не только врача, но и любого другого сотрудника медучреждения, включая средний и младший медперсонал.

Ч. 3 ст. 137 УК РФ содержит санкции за разглашение данных о несовершеннолетних, которым не исполнилось 16 лет. Однако возраст потерпевшего — не единственное условие для наступления ответственности по этой части нормы. Квалификация зависит от характера распространенной информации, способа и последствий ее разглашения.

Так, в качестве обязательного признака ч. 3 ст. 137 УК РФ предусматривает разглашение сведений о подростке посредством СМИ, публичного выступления, информационно-телекоммуникационных сетей (включая интернет). При этом распространяемая информация должна выражаться в описании страданий несовершеннолетнего, понесенных им в связи с совершением в отношении него преступления, или нести иные сведения по уголовному делу, в котором подросток выступает одной из сторон.

И еще одно обязательное условие: в результате нарушения неприкосновенности частной жизни ребенку был причинен физический или моральный вред (психическое расстройство, вред здоровью) либо наступили другие тяжкие последствия.

У судов нет единой позиции по поводу формулировки «иные тяжкие последствия»:

  • Так, например, Верховный суд Республики Саха (Якутия) в своем апелляционном постановлении от 22.12.2015 № 23-2013 счел верной квалификацию действий подсудимого по ч. 3 ст. 137 УК РФ в ситуации, когда последствия разглашения информации о несовершеннолетнем выразились в причинении значительного ущерба его законным представителям.
  • В то же время апелляционное определение Архангельского областного суда от 16.11.2015 № 15-2015 содержит диаметрально противоположный вывод относительно практически аналогичного случая. Апелляционная инстанция переквалифицировала действия фигуранта на ч. 1 ст. 137 УК РФ.

Наказание за разглашение персональных данных

Наказание по ст. 137 УК РФ варьируется от штрафа до лишения свободы. Совершение ничем не отягченного преступления (ч. 1 ст. 137 УК РФ) грозит одним из следующих наказаний:

  • штрафом в размере до 200 000 руб. (как вариант, в размере полуторагодовой зарплаты виновного);
  • обязательными или исправительными работами на срок до 360 часов или до 1 года соответственно;
  • до 4 месяцев ареста;
  • до 2 лет лишения свободы.

Для лиц, допустивших разглашение конфиденциальных сведений о личности в связи со своим служебным положением, наказание будет строже:

  • минимальный размер штрафа в этом случае составит 100 000 руб., максимальный — 300 000 руб.;
  • обязательные работы в ч. 2 ст. 137 не предусмотрены, а срок принудительных увеличен до 4 лет;
  • продолжительность ареста продлена до 5 месяцев, срока лишения свободы — до 5 лет.

Самые суровые последствия ждут виновных в разглашении данных о несовершеннолетних:

  • согласно ч. 3 ст. 137 УК РФ им придется заплатить от 150 000 до 350 000 руб. штрафа либо принудительно отработать до 6 лет;
  • в качестве альтернативы возможен арест на срок до полугода или до 6 лет тюрьмы.

Ст. 137 УК РФ — одна из наиболее сложных норм с точки зрения квалификации преступления. Для ее правильного толкования необходимо учитывать требования смежных отраслей законодательства. В частности, не избежать обращения к законам, регламентирующим обращение с персональными данными, регулирующим деятельность различных ведомств и раскрывающим понятие тайны.

Информация о гражданах, которая дает возможность их идентифицировать называется персональной. Существуют общедоступные источники персональных данных граждан и базы данных. Их доступность не означает, что ими можно пользоваться без согласия владельца. Персональные данные (ПД) защищены законодательно и имеют ограниченный доступ, если на это нет разрешения владельца. В этой статье наши эксперты расскажут об ответственности за разглашение персональных данных, статье 137 УК РФ и особенностях предусмотренного наказания.

О разновидностях персональных данных

Личные данные относятся к информации, к которой ограничен доступ. Они должны быть защищены от огласки, как того требует закон.

  1. Общие – несут основную информацию: ФИО, паспортные данные, образование, ИНН, семейное положение, контактные данные, доход, занятость и др. Они заполняются со слов гражданина или на основании документов.
  2. Биометрические – группа крови, рост, вес, другие физиологические параметры. Эта информация необходима для прохождения медицинского обследования или лечения.
  3. Специальные – расовая принадлежность, религиозные взгляды, психологическое здоровье, Эти сведения требуются при трудоустройстве, при участии в общественной или политической деятельности.
  • Общедоступные – данные, которые не скрываются, общедоступны, их юридическое определение – обезличенные. Особенность обезличенных сведений заключается в том, что они не принадлежат конкретному человеку.

    • В 1997 г. вышел Указ Президента РФ, в котором сведения о частной жизни граждан отнесены к категории конфиденциальных, то есть ответственность за разглашение персональных данных регулируется УК РФ. В ст. 137 регламентируется правовая защита информации о гражданах, доступ к ПД которых нарушен посторонними лицами. В статье реализуется неприкосновенность частной жизни людей. К понятию частной жизни закон относит информацию:

    • О самом субъекте, о месте его проживания.
    • О родственниках.
    • О вкладах и счетах в банках, об усыновленных детях, содержании письменной и электронной переписки и телефонных разговоров, факты из личных документов. В эту категорию причисляются сведения о налогах, врачебная и адвокатская информация, тайна исповеди. Эта информация относится к области тайны, личного пространства гражданина, которое должно охраняться законом.

    Вторжение в эту область характеризуется как нарушение конституционных прав (ст. 23, 24). Тому, кто умышленно вторгается в сферу личной жизни человека, при этом делает сведения о человеке достоянием гласности, грозит уголовное преследование.

    Оператором для обработки ПД выступает муниципальное учреждение или юридическое лицо. Они должны иметь полномочия на обработку, использование, защиту личной информации от копирования или уничтожения.

    Какова ответственность за разглашение персональных данных гражданина РФ

    Каждый гражданин страны наделяется правом на то, что его персональная информация будет сохранена и защищена согласно Конституции РФ и защищена. Основной закон провозглашает, что сбор и распространение сведений о личной жизни человека являются противозаконными, нарушение этого принципа может грозить лишением свободы на срок до 6 лет .

    ПД концентрируются в разных базах данных, это зависит от категории информации:

    • В отделе кадров предприятий - о составе семьи, должности, заработной плате, суммах вознаграждения.
    • В налоговой инспекции – о доходах, о выплате налогов.
    • В банке – о суммах вкладов, кредитах.

    Вся информация, размещенная в базах данных инстанций, должна быть надежно защищена, ответственность за ее сохранность несут руководители согласно законодательству, в котором закреплен статус конфиденциальности личной информации. Должностные лица, имеющие доступ к ПД других граждан, не имеют права разглашать сведения, не получив на это согласие их обладателя.

    Ответственность подобные нарушение можно разделить на несколько видов:

    • Дисциплинарная – применяется на основании ТК. Максимальная мера наказания – увольнение (ст. 81). Минимальная - выговор, строгий выговор с лишением материального вознаграждения в виде премии.
    • Административная – наступает в соответствии с КоАП. Она предполагает наложение штрафа (ст. 13.11).
    • Уголовная – наступает случаях совершения правонарушений, которые впоследствии были квалифицированы по ст. 137 или ст. 272 УК РФ.

    Уголовная - разглашение персональных данных ст. 137 УК РФ. Нарушение неприкосновенности частной жизни квалифицируется как преступление. Понятие «частная жизнь» трактуется как информация о происхождении человека, месте проживания, семейных обстоятельствах. Определения частной жизни и персональных данных толкуются в законе как аналогичные. Уголовная наказание грозит в случае, когда действия должностного лица, которое получило доступ к данным и распространяло их, признаны судом умышленными.

    Открытость информации о человеке означает, что они не являются тайной за семью печатями, но пользоваться ими можно только с согласия владельца. Распространение их, незаконный сбор наказываются. Основным признаком уголовного преступления по данной статье является доказанный факт, что использовано служебное положение.

    Нарушение Ответственность Закон
    Ненадлежащий порядок сбора, хранения, использования, распространения ПД Штраф (руб.) для должностных лиц – 500 - 1000 руб., юридических лиц – 5000 - 10000 руб. КоАП
    Законодательство о труде Штраф (руб.) для должностных лиц – 500 - 5000 руб., юридических лиц – 30000 - 60000 руб. КоАП
    Несоблюдение правил хранения ПД, что повлекло материальный ущерб для работодателя Средний месячный заработок работника ТК ст. 238, 241
    Несоблюдение правил хранения ПД, что повлекло моральный ущерб для работника Возмещение вреда в денежной форме в размере, указанном в трудовом договоре ТК ст. 234, 235, 237
    Разглашение служебной тайны Материальная, дисциплинарная ответственность работника вплоть до расторжения трудового договора ТК ст. 192, 195, 243; ст. 81
    Неправомочный доступ к компьютерной информации, которая охраняется законом Уголовная ст. 272 УК РФ
    Неприкосновенность частной жизни Уголовная ст. 137 УК РФ

    Нововведения в законодательстве об ответственности за персональные сведения граждан

    В Государственной думе одобрен законопроект о дополнительных мерах по административной ответственности граждан, которые, имея доступ к личной информации, распространяют ее либо нарушают правила хранения.

    В настоящее время административная ответственность за ненадлежащее хранение личных сведений о гражданах регулируется КоАП. Максимальный размер штрафа, который предусмотрен кодексом, составляет 5 - 10 т. руб. для юридического лица. Физические лица обязаны заплатить 300 - 500 руб., а должностные - 500 - 1000 руб.

    В проекте нового закона предлагается проводить дифференциацию типов правонарушений в области разглашения ПД граждан и учитывать при этом моральный и физический ущерб, который был причинен личности. Законодатели предлагают:

    • Установить градацию нарушений законодательства в отношении персональных сведений граждан по степени тяжести ущерба для пострадавшего.
    • Увеличить размеры штрафов: для физических лиц – 5 т. руб, для должностных – 20 т. руб., для ИП – 20 т. руб., для юридических лиц – 75 т. руб.

    Рассмотрение дел о разглашении ПД носит заявительный характер. Это означает, что делу не будет дан ход, пока гражданин, пострадавший от того, что информация о нем стала достоянием большого круга людей, не напишет заявление в компетентные органы.

    Когда право на неразглашение ПД считается нарушенным?

    Разрешение на использование ПД действительно в том случае, когда обладатель дает согласие в письменном виде и ставит свою подпись. Гражданин может отозвать согласие в любой момент. При отсутствии согласия сбор и обработка данных прекращается.

    Ситуации, когда право на защиту ПД считается нарушенным:

    1. Управляющая компания вывесила перечень граждан, имеющих задолженность по квартплате или коммунальным услугам с указанием ФИО жильцов, адресов, сумм долга.
    2. Информация о долгах выложена на сайте УК.
    3. Незнакомцы звонят по телефону, называют хозяина по имени, проводят опросы.
    4. В СМИ выложена информация о гражданах в связи с событиями, участниками которых они являлись, но не оставляли никому своих ПД.

    Факты, когда субъект лично никому свои данные не передавал, но они появились в свободном доступе, означает утечку информации. Для гражданина есть повод обратиться в правоохранительные органы за защитой своих прав.

    Во избежание утечки информации о ПД от самого владельца необходимо быть внимательным при заполнении различных анкет и опросов, где требуются личные сведения, но нет упоминания о необходимости согласия на их обработку.

    Рассмотрение жалоб о нарушении прав по сохранению ПД осуществляет Роскомнадзор, прокуратура и суд.

Опыт работы юристом с 2000 года. Окончил Московский государственный открытый университет с красным дипломом. Осуществляет консультацию и помощь гражданам по всем юридическим проблемам.

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.

Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Как работодатель обязан защищать персональные данные

В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.

Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).

Какая ответственность применяется к работодателям

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.

Дисциплинарная ответственность

К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):

  • замечание;
  • выговор;
  • увольнение.

Материальная ответственность

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.

Читайте также Пример соглашения по охране труда

При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.

Административная ответственность

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

  • штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

  • штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Что изменится с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.

Нарушение 1: обработка персональных данных в «иных» целях

С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

  • или предупреждение;
  • или штрафы.

Нарушение 2: обработка персональных данных без согласия

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

  • ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись работника.

С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

Нарушение 3: доступ к политике по обработке персональных данных

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.

Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».

С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:

Нарушение 4: сокрытие информации

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

  1. подтверждение факта обработки персональных данных оператором;
  2. правовые основания и цели обработки персональных данных;
  3. цели и применяемые оператором способы обработки персональных данных;
  4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  6. сроки обработки персональных данных, в том числе сроки их хранения;
  7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  10. иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

Под персональными данными понимается любая информация о человеке, прямо или косвенно к нему относящаяся. Примерами персональных или личных данных выступают фамилия, имя, отчество или псевдоним, никнейм и другие заменители имен, которыми можно пользоваться для идентификации своей персоны; данные о дате и месте рождения; контактные данные — телефоны, адреса (включая электронные), места работы, учебы, пребывания; сведения о виде деятельности, образовании, доходах, расходах, иной деятельности; сведения о родных и близких человека, семейном положении, родстве и свойстве; данные о состоянии его здоровья; биометрические данные. За разглашение персональных данных предусмотрена юридическая ответственность.

Федеральное законодательство относит персональные данные к сведениям ограниченного доступа и предусматривает за их разглашение и / или распространение разного рода ответственность (в частности статья 137 УК РФ «Нарушение неприкосновенности частной жизни») .

Административная ответственность наступает за разглашение сведений о гражданине, которые составляют его персональную тайну. При этом к административной ответственности привлекаются те, кто получил личные данные в связи с исполнение служебных или профессиональных обязанностей, и распространил их. Это могут быть работники кадровых служб, работники бухгалтерии, руководители организаций и подразделений. Подобное правонарушение наказывается штрафом. Штраф для должностных лиц выше, нежели штраф для граждан, не являющимися должностными лицами (4000-5000 и 500-1000 рублей соответственно). Адвокаты, разгласившие сведения о своих доверителях, несут ответственность как должностные лица.

Уголовная ответственность наступает за ряд преступлений, связанны с незаконным и получением таких сведений, которые не считаются персональными, но относятся к сфере личных данных. В этот перечень включают сведения из переписки, телефонных разговоров, почтовых, телеграфных и других сообщений; сведения, составляющие банковскую, коммерческую и налоговую тайну; сведения, составляющие тайну усыновления (удочерения). В строгом смысле эти сведения не могут входить в категорию персональных данных, однако составляют личную и семейную тайну человека, охраняемую законом.

Кто может собирать персональные данные

Сбор личных данных осуществляется в различных сферах жизни. Персональные данные сообщаются при посещении медицинского учреждения, при устройстве на работу, при поступлении в образовательное учреждение, при заключении любых договоров, при обращении за услугами связи. Это далеко не полный перечень ситуаций, когда человек должен сообщать сведения о себе.

Любое предприятие, имеющее работников, включает мероприятия по охране и защите персональных данных в план мероприятий по охране труда и несет ответственность за их проведение. С добровольного согласия работника (если необязательность согласия не предусмотрена законом) предприятие может размещать на собственном сайте, информационном стенде и других открытых источниках данные о своих работниках. Аналогичным образом могут быть размещены сведения об обучающихся образовательных учреждений, участниках и победителях конкурсов, викторин, олимпиад. Однако данные несовершеннолетних работников и обучающихся размещать запрещено даже с согласия их самих и их представителей.

Защита персональных данных в интернете

Если человек самостоятельно создает в сети интернет личную страницу или сайт, размещает на нем свои личные данные, выкладывает фотографии, то он признает возможность других пользователей интернета видеть эти данные и идентифицировать по ним владельца страницы или сайта. Но использование его личных данных другими лицами запрещено . Нельзя пользоваться его именем, никнеймом, псевдонимом и фотографией, подменяя его личностью личность другого человека. иными словами, нельзя копировать чужие сайты и страницы и пользоваться ими.

Поделиться: