Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за использование чужих персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Что делать при незаконном разглашении персональных данных?
Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.
В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.
Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.
Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.
Ситуации из практики: что изменится с 1 июля
Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение – от 15 000 до 75 000 руб., на должностное лицо – от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).
Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.
Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Комментарии к ст. 13.11 КОАП РФ
1. Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» информация о гражданах (персональные данные) определяется как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ч. 1 ст. 3 указанного Закона). Свойства данной информации — обеспечивать идентификацию конкретного лица — предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных (для статистических или иных научных целей), а также в отношении общедоступных персональных данных (ч. 3 ст. 6, ст. 7). Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.
Такая защита обеспечивается в первую очередь путем установления конституционного запрета осуществлять сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также требованием судебного решения для ограничения тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. ст. 23 и 24 Конституции РФ). Статьей 19 Конституции РФ запрещаются также любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.
Федеральный закон » О персональных данных» рассматривает согласие субъекта персональных данных на обработку сведений о его частной жизни в числе одного из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, включая информацию персонального характера.
Из данного основополагающего принципа согласия могут иметь место исключения, предусмотренные в законодательном порядке, в том числе в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, оперативно-розыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, а также в случаях, связанных с медицинскими и медико-профилактическими целями (п. п. 2 — 7 ч. 2 и ч. 3 ст. 10, ч. 2 ст. 11, п. п. 2 — 5 ч. 3 ст. 12 Федерального закона «О персональных данных»).
2. Комментируемая статья закрепляет в качестве основания применения административной ответственности нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Упомянутый Федеральный закон регулирует данный порядок, устанавливая принципы и условия обработки персональных данных (ст. 5, ч. 1 ст. 6; ст. ст. 9 — 13), обеспечивающие, в том числе порядок реализации права субъекта данных на согласие; порядок осуществления иных прав субъекта персональных данных, включая право на доступ субъекта к своим персональным данным (ст. 14); права субъекта данных при обработке его персональных данных (ст. ст. 15 — 16); право на обжалование действий или бездействия оператора (ст. 17); обязанности оператора по обработке персональных данных (ст. ст. 18 — 22).
3. Объектами административных правонарушений являются общественные отношения, складывающиеся в области защиты информации. Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).
4. Субъектами правонарушений могут быть граждане, должностные, юридические лица, умышленно или по неосторожности допускающие указанные нарушения.
Законодательство РФ устанавливает обязанности представителей определенных профессий (врачей, адвокатов, нотариусов и др.) по сохранению в тайне полученной информации и указывает на уголовную, гражданскую и административную ответственность за разглашение таких сведений. УК РФ и ГК РФ предусматривают такую ответственность (см. ст. ст. 137, 138, 155 УК РФ, ст. 152 ГК РФ).
Помимо комментируемой статьи, КоАП РФ предусматривает также ответственность граждан и должностных лиц за нарушение правил защиты информации (ст. 13.12), за разглашение информации с ограниченным доступом (ст. 13.14), а также ответственность должностных лиц за отказ в предоставлении информации (ст. 5.39).
5. Дела о правонарушениях, предусмотренных комментируемой статьей, возбуждаются прокурорами (ч. 1 ст. 28.4) и рассматриваются судьями (ч. 1 ст. 23.1).
Что такое персональные данные и конфиденциальность
Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.
Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.
Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.
Примеры нарушений обработки ПДю
На примерах судебных решений рассмотрим случаи обработки ПД, содержащие состав нарушений, предусмотренных новой редакцией ст. 13.11 КоАП РФ.
Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016: адвокат в рамках оказания юридических услуг, позвонил со своего телефонного номера в банк для получения информации по задолженности клиента, с которым был заключен договор. Впоследствии представители банка стали регулярно звонить адвокату по вопросу погашения задолженности, не реагируя на требования уничтожить его персональные данные. Суд первой инстанции, куда обратился адвокат с требованием об уничтожении персональных данных и взыскании компенсации морального вреда, счел действия представителей банка неправомерными. Апелляционный суд поддержал этот вывод.
Напомним, что использование ПД, в том числе с целью совершения адресных звонков абоненту, является одним из видов обработки ПД. Данная обработка производилась без согласия субъекта: это случай, не предусмотренный Законом о ПД (санкции по п. 1 ст. 13.11 КоАП РФ – штраф для должностного лица до 10 тыс. руб., для банка до 50 тыс. руб.).
Банк посчитал: поскольку персональные данные адвоката (в том числе номер его телефона) размещены в открытом доступе, то есть в Интернете, согласие на их обработку не требуется. Суд указал, что телефонный номер адвоката был размещен в Сети в целях оказания юридических услуг, в то время как банк воспользовался его персональными данными с другой целью, а именно с целью доведения до заемщика через адвоката информации в связи с задолженностью по кредиту, – санкции по п. 1 ст. 13.11 КоАП РФ.
Мы видим другое нарушение: в силу ч. 1 ст. 14 Закона о ПД субъект вправе требовать от оператора уничтожения его персональных данных в случае, если персональные данные являются незаконно полученными, а также принимать предусмотренные законом меры по защите своих прав. Банк не отреагировал на требование адвоката и продолжал использовать персональные данные субъекта, что может быть расценено как нарушение п. 5 ст. 13.11 КоАП РФ (штраф для должностного лица до 10 тыс. руб., для организации – до 45 тыс. руб.).
Постановление Волгоградского областного суда от 15.04.2011 по делу № 7а-391/11: при проверке колледжа прокуратурой было выявлено, что в организации отсутствуют документы об установлении мест хранения персональных данных, перечня мер, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним, не определен круг лиц, ответственных за реализацию вышеуказанных мер. Должностное лицо было оштрафовано на 500 руб. по ст. 13.11 КоАП РФ. По новым нормам это нарушение п. 6 ст. 13.11 КоАП РФ, предусматривающее штраф для должностных лиц до 10 тыс. руб., для организаций – до 50 тыс. руб.
Часть 2 ст.137 УК РФ
В том случае, если действия по сбору и разглашению личных данных производились лицом, используя своё служебное положение, ответственность наступает по ч.2 ст.137. Судебная практика показывает, что незаконные сбор и разглашение персональных данных совершаются именно должностными лицами. Это могут быть:
- сотрудники телефонных компаний, предоставляющие коммерческим организациям сведения об абонентах или просто сообщающие информацию о проведённых конкретным лицом звонках своим друзьям;
- работники отдела кадров, где как правило хранятся основные документы, содержащие личные данные всех сотрудников компании, и т.д.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Уголовная ответственность за разглашение персональных данных
Статья 137 Уголовного кодекса РФ посвящена нарушению персональных данных. Во-первых, состав преступления образуют действия как по незаконному сбору, так и по распространению сведений о частной жизни лица без его согласия. Это может быть семейная тайна, личная. А распространение — любые действия, в том числе в публичном выступлении, произведении или СМИ. Ответственность — штраф до 200 000 руб., либо обязательные работы (до 360 часов), принудительные работы (до 2 лет) с лишением права занимать определенные должности (до 3 лет), арест до 4 месяцев. Либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности (до 3 лет).
Если сведения стали нарушителю доступны в связи с определенной службой, то наказание ужесточается. Равно как и публичное распространение сведений о лице, не достигшем 16 лет. Но не просто персональных данных о несовершеннолетнем, но описание полученных им в связи с преступлением физических или нравственных страданий, а также данных, указывающих на его личность по уголовному делу.
Кто имеет право собирать и хранить персональные данные
Любой человек или организация обрабатывает личную информацию. Собирать и хранить персональные данные имеет право организация или физическое лицо. Главное, чтобы перед сбором информации люди дали согласие, и были предупреждены о том, что сведения о них будут храниться и обрабатываться.
Сбор персональных данных бывает связан с чем угодно. Это может быть регистрация на сайте, заполнение какой-либо анкеты, трудоустройство в компанию, сотрудничество с различными организациями и тому подобное. Важно, чтобы сбор информации был целевым. То есть компания не может просто так собирать сведения, не имеющие никакого отношения к взаимоотношениям с клиентами.
Физическое или юридическое лицо обязано обеспечивать сохранность и ограниченный доступ к личной информации. Ни в коем случае нельзя передавать эти сведения третьим лицам. Предусмотрена ответственность за нарушение персональных данных. Если обратиться в правоохранительные органы нарушитель понесет наказание. За совершение данного преступления предусмотрена, в том числе, уголовная ответственность.
Куда обращаться если ваши персональные данные были распространены без согласия
Чтобы наказать нарушителя, разгласившего личные сведения без вашего согласия, нужно написать жалобу о нарушении персональных данных в Роскомнадзор. Уполномоченный орган рассмотрит ее, и примет меры. Нарушитель будет наказан в соответствии с действующим законодательством Российской Федерации.
Дополнительно обратитесь в прокуратуру. Напишите заявление, в котором изложите обстоятельства случившегося. Желательно перед этим проконсультироваться с компетентным юристом, который поможет вам правильно написать заявление. Прокуратура рассмотрит обращение, и если в случившемся будет обнаружен состав преступления, виновные в разглашении ваших персональных сведений накажут.
Направить жалобу или заявление в соответствующие органы несложно. Это можно сделать либо по почте, либо через интернет, прямо на сайте органа надзора. Какой вариант выбрать решать вам. Мы рекомендуем направлять жалобы и заявления в письменном виде по почте в виде письма с уведомлением.
Заграничные стандарты
В странах ближнего и дальнего зарубежья принято выделять два подхода к определению личных данных. В Нидерландах, Новой Зеландии и Швеции такими считаются любые сведения о конкретном лице, в Великобритании детализируют понятие, устанавливая критерии и категории. Англоговорящие соседи не допускают сбор информации о расовом происхождении, религиозных и политических взглядах, умственном здоровье, судимости и сексуальной ориентации. В Соединенных Штатах есть закон, запрещающий руководителям проводить расследование прошлого работников. Если предприниматель хочет узнать все о своем подчиненном, ему необходимо взять письменное разрешение от него.
В России данное понятие может варьироваться от принципов организации, но, по своей сути – это сведения, необходимые работодателю для установления трудовых отношений. Законодательно нет определенного перечня. Вид необходимой информации определяется нормативным актом компании в пределах федерального законодательства.
Что такое персональные данные
Обратите вниманиеРаботодатель не вправе заключать трудовой договор, если потенциальный работник не подписал согласие на обработку персональных данных. Подробнее об этом читайте в статье здесь
Согласно п. 1 ст. 3 ФЗ № 152, персональные данные — это вся возможная информация, которая каким-либо образом относится к человеку и позволяет идентифицировать его личность. Это могут быть абсолютно любые сведения — от фамилии до антропометрических особенностей. Подробнее о том, что входит в персональные данные — читайте в статье здесь
В ст. 85 Трудового кодекса РФ поясняется, что персональными данными сотрудника признается информация непосредственно о нем самом, которая требуется работодателю в связи с трудовыми отношениями. По ТК РФ наниматель за разглашение персональных данных несет дисциплинарную ответственность, но то же правонарушение влечет за собой и возникновение уголовной ответственности.
Ответственность за нарушения по персональным данным
Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2021 г. № 13-ФЗ).
До 1 июля 2021 года размеры штрафов за нарушение закона о персональных данных составляют:
- для юридических лиц – от 5 тыс. до 10 тыс. руб.;
- для должностных лиц – от 500 до 1 тыс. руб.
Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2021.
| Вид нарушения | Размер штрафа | |
| для юридических лиц | для должностных лиц | |
| Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. | От 30 тыс. до 50 тыс. руб. | От 5 тыс. до 10 тыс. руб. |
| Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
| Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку | От 15 тыс. до 75 тыс. руб. | От 10 тыс. до 20 тыс. руб. |
| Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных | От 15 тыс. до 50 тыс. руб. | От 3 тыс. до 10 тыс. руб. |
* Если не предусмотрена уголовная ответственность
Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).
Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).
Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.