Вопросы к Юристу

На ком лежит ответственность за разглашение персональных данных

"Кадровик. Кадровое делопроизводство", 2007, N 1

Ответственность за разглашение персональных данных работника

Конституцией РФ установлено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. ст. 23, 24 Конституции РФ). В то же время при приеме на работу от соискателя часто требуют предоставления сведений личного характера. Но кто будет нести ответственность за сохранность этих данных?

Согласно ст. 85 Трудового кодекса РФ персональными данными работника признается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Принимая на работу нового сотрудника, работодатель должен сообщить ему о целях получения персональных данных, о характере подлежащих получению персональных данных работника, а также предупредить о последствиях отказа сотрудника дать письменное согласие на получение таких сведений. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, о частной жизни, а также данные о членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ). В соответствии со ст. 24 Конституции РФ в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Работодатель при принятии решений, затрагивающих интересы сотрудника, не имеет права основываться на его персональных данных, предоставленных исключительно в результате автоматизированной обработки или электронного получения. Руководитель обязан обеспечить защиту персональных данных сотрудника от неправомерного использования или утраты. Работников следует ознакомить под расписку с документами организации, которые устанавливают порядок обработки персональных данных, а также об их правах и обязанностях в этой области, при этом сотрудники не должны отказываться от прав на сохранение и защиту тайны. Работодателям, работникам или их представителям необходимо совместно вырабатывать меры защиты личных сведений, закрепив это требование в Положении о персональных данных работника.

Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации, в правоохранительных органах, страховых агентствах, туристических и гостиничных фирмах, в некоторых подразделениях муниципальных органов самоуправления и т.д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, то есть в отделе кадров.

Нарушение порядка сбора,
хранения, использования
или распространения
персональных данных

Штраф для должностных
лиц - от 500 до
1000 руб., для
юридических лиц -
от 5000 до 10 000 руб.

Статья 13.11
КоАП РФ

Нарушение законодательства
о труде

Штраф для должностных
лиц - от 500 до
5000 руб., для
юридических лиц - от
30 000 до 50 000 руб.

Статья 5.27
КоАП РФ

Нарушение правил хранения
и использования
персональных данных,
повлекшее за собой
материальный ущерб
работодателю

Материальная
ответственность
работника в пределах
его среднего месячного
заработка (ст. ст. 238,
241 ТК РФ)

Статья 238 ТК
РФ

Ненадлежащее хранение и
использование
персональных данных,
повлекших за собой ущерб
работнику

Возмещение морального
вреда работнику в
денежной форме в
размерах, определенных
трудовым договором
(ст. 237 ТК РФ),
возмещение
материального ущерба
работнику в полном
объеме (ст. 235 ТК РФ)

Статья 234 ТК
РФ

Разглашение служебной
тайны, ставшей известной
работнику при выполнении
им трудовых обязанностей

Материальная
ответственность
работника,
дисциплинарная
ответственность
работника (ст. ст. 192,
195 ТК РФ) вплоть до
расторжения трудового
договора по пп. "в"
п. 6 ст. 81 ТК РФ

Пункт 7
ст. 243 ТК РФ

Нарушение
неприкосновенности
частной жизни

Статья 137 УК
РФ

Неправомерный доступ к
охраняемой законом
компьютерной информации

Статья 272 УК
РФ

Информация о персональных данных может быть получена (из документов и устной беседы) при заключении трудового договора между предполагаемым работником и работодателем. Статьей 65 ТК РФ определен перечень документов, предъявляемых при заключении договора:

- паспорт или иной документ, удостоверяющий личность,

- трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства,

- страховое свидетельство государственного пенсионного страхования,

- документы военного учета,

- документ об образовании, квалификации или наличии специальных знаний или специальной подготовки, а также иные документы, предусмотренных законодательством.

Ответственность за распространение персональных данных несет в первую очередь работодатель, а также ответственные лица: отдел кадров или работник, отвечающий за сохранность этих данных, согласно условиям трудового договора или должностной инструкции.

Работа отдела кадров любой организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов персональных данных сотрудников организаций. Эти сведения являются конфиденциальными, поскольку составляют информацию о фактах, событиях и обстоятельствах личной или семейной жизни гражданина и подлежат защите в соответствии с законом (Федеральный закон от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации"). В связи с этим отдел кадров должен обеспечить безопасность таких сведений, их защиту от угроз со стороны потенциальных злоумышленников, которые могут использовать данные в противозаконных целях.

Главное условие защиты персональных данных - четкая регламентация функций работников отдела кадров, а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность согласно федеральным законам (ст. 90 ТК РФ). К сотруднику, отвечающему за хранение персональной информации в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ, а именно замечание, выговор и увольнение. Работодатель может расторгнуть трудовой договор по своей инициативе при разглашении охраняемой законом тайны, ставшей сотруднику известной в связи с исполнением им трудовых обязанностей (пп. "в" п. 6 ст. 81 ТК РФ). Помимо этого сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности.

Так, ст. 137 УК РФ устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Защита конфиденциальных данных предусмотрена ст. 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило ее, то на него будет наложен административный штраф в размере от 40 до 50 МРОТ.

К уголовной и административной ответственности привлекаются руководитель организации, подразделения, виновный в разглашении персональных данных работника, или же другое должностное лицо, отдавшее распоряжение использовать то или иное ограничение или самостоятельно исполнившее данное распоряжение.

Что относится к личной (персональной) информации

Одним из важных моментов, который принимается во внимание при определении состава преступления и несения ответственности – это то, что относится к персональным данным. Как правило, они представляют собой следующую информацию:

  • Данные паспорта (серия, номер, кем выдан),
  • Сведения о трудовой деятельности – место работы, обязанности, уровень заработной платы,
  • Данные о полученном образовании,
  • Информация относительно прохождения лицом военной службы,
  • Отдельные факты биографии, медицинские диагнозы,
  • Личная переписка граждан или должностных лиц,
  • Сведения относительно адреса проживания, номера контактного телефона.

Возможность предоставления такой информации третьим лицам возможна только при условии согласия ее носителя (лица или представителя организации). В отдельных случаях сотрудники правоохранительных органов, налоговой инспекции имеют право запрашивать на основании имеющихся у них полномочий подобные данные.

Признаки преступного деяния и состав преступления

Признаками преступного деяния в случае разглашения информации будут следующие факторы:

  • Незаконность сбора информации и ее хранения,
  • Отсутствие согласия носителя данных на ее сбор и предоставление,
  • Непричастность лиц, которым была предоставлена информация, к правоохранительным органам, имеющим право доступа к подобным данным.

Относительно несения ответственности виновность субъекта может доказываться при разглашении информации одному лицу, публикации ее в средствах массовой информации, на публичных выступлениях и т.д.

Случаи судебной практики на данный момент имеют достаточно много прецедентов, при которых должностные лица (работники финансовых организаций, медицинских учреждений и т.д.) привлекались к уголовной ответственности за раскрытие информации относительно поставленного диагноза, наличия вкладов, сведений о движении денежных средств, сумме дохода и т.д.

Административная ответственность

Ответственность лиц, которые допустили или сами участвовали в разглашении информации, относящейся к личным данным, может рассматриваться как административным кодексом, так и уголовным.

Административная ответственность определяет моменты, касающиеся разглашения данных относительно личности, которые не подлежат огласке. Сюда могут относиться данные паспорта, личные идентификационные данные, сведения о состоянии здоровья. При отсутствии особых последствий, к которым привело распространение или утечка информации, уголовная ответственность не предусмотрена – подобные ситуации рассматривает Административный кодекс – статья 13.11.

Данная статья «Нарушение законодательства РФ в области персональных данных» состоит из 7 частей, каждая из которых определяет различную степень вины и, как следствие, разную степень несения ответственности при признании лица виновным. Так, возможно применение следующих видов наказания:

  • Ч1. Относится к противоправным действиям, заключающимся в запросе и обработке персональных данных без наличия такой необходимости и против воли держателя такой информации. Карается вынесением предупреждения и наложением штрафа для граждан до 3 тысяч рублей, должностных лиц до 10 тыс. рублей, юридических до 50 тыс. рублей,
  • Ч2. Предусматривает сбор и обработку персональных данных без наличия законных оснований на это. В качестве наказания применяется штраф до 5 тыс. рублей для граждан и до 70 тыс. рублей для организации,
  • Ч3. Относится к невыполнению лицом, которое занято на обработке данных, установленных правил по опубликованию информации и обеспечению доступа к ней или ограничению. Физ. лица в такой ситуации уплачивают штраф в размере от 700 до 1700 рублей, должностные лица наказываются штрафом от 3 до 6 тыс. рублей, организации – от 15 до 30 тыс.,
  • Ч4. Описывает действия оператора по отношению к его обязанностям предоставления данных персонального характера или сведений субъектам для их обработки. Физ. лица могут выплачивать штраф от 1 до 2 тыс. рублей, должностные от 4 до 6 тыс. рублей, юр. лица – от 20 до 40 тыс. рублей,
  • Ч5. Относится к тем противоправным действиям, которые касаются нарушения сроков обработки сведений, их хранения и норм уничтожения. Наказанием является оплата штрафа размером до 2 тыс. рублей с физических лиц, для должностных до 6 тыс. рублей, для организаций до 40 тыс. рублей,
  • Ч6. Относится к тем нарушениям, которые приводят к распространению личных данных. Причем такое действие может носить как умышленный характер, так и произойти по причине ошибки кого-либо из сотрудников организации, в которой такие данные хранились. Наказанием может служить штраф до 2 тыс. рублей для граждан, до 10 тыс. рублей для должностных лиц и до 50 тыс. рублей для юридических,
  • Ч7. Рассматривает нарушение норм законодательства в форме предоставления, обработки и хранения информации, что были допущены специалистами и сотрудниками муниципалитета или государственных органов власти. Наказанием служит необходимость выплаты штрафа в размере до 6 тысяч рублей.

Уголовная ответственность

Возможность привлечения к уголовной ответственности наступает в случае, если преступное деяние определяется как разглашение личных данных человека. При этом такое событие повлекло за собой создание угрозы жизни, безопасности или же в результате утечки данные стали доступны для общего сведения. При этом сами данные охранялись соответствующими законами РФ. Информацию относительно степени вины и меры наказания определяет статья 137 Уголовного кодекса РФ, состоящая из трех частей:

  • Ч1. Указывает в качестве преступления незаконное осуществление сбора информации, распространение личных или семейных данных граждан. Разглашение может осуществляться путем публичного выступления или иного способа сообщения широкой общественности. В качестве наказания применяется необходимость уплаты штрафа в размере 200 тысяч рублей, дохода граждан в сумме их дохода за полтора года. Также могут вменяться обязательные работы продолжительностью до 360 часов, исправительные не более 1 года или принудительные до 2 лет. Наиболее тяжелой мерой является арест до 4 месяцев или лишение свободы до 2 лет,
  • Ч2. Рассматривает разглашение персональных данных с оговоркой о том, что действие произошло посредством использования служебного положения лица, которому вменяется вина. Наказание предусматривается до 300 тысяч рублей штрафа, 4 года работ принудительного характера или 6 месяцев ареста. Самой тяжелой мерой будет являться лишение свободы сроком до 4 лет, кроме того, в течение 5 лет виновный не сможет занимать определенные должности, дающие право доступа к такой информации,
  • Ч3. Рассматривает распространение данных о лице, являющемся несовершеннолетним или информации, имеющей отношение к физическому или моральному ущербу. В качестве наказания используются различные меры – от штрафа в размере до 300 тысяч рублей до лишения свободы сроком до 5 лет с запретом на работу на определенных должностях.

Итак, разглашение персональных данных о лице, которые могут включать в себя различную информацию от реквизитов документа до событий личной жизни и медицинских диагнозов, рассматриваются административным и уголовным кодексом РФ. В зависимости от степени вины и тех последствий, которое повлекло за собой разглашение данных, в качестве меры наказания могут использоваться штрафы различной величины, исправительные и другие работы или лишение свободы.

Смотрите видео: Разведопрос: Алексей Балаганский про основы информационной безопасности (December 2019).