Какая ответственность наступает за разглашение персональных данных гражданина
На работодателя возложено множество функций: от выполнения обязанностей налогового агента до ведения локального воинского учета. Это требует сбора, систематизации и хранения большого количества личной информации о сотрудниках. Чтобы гарантировать отсутствие утечек, российское законодательство предусматривает ответственность за разглашение персональных данных.
Состав личной информации
Сведения, носящие личный характер, определены в ст. 3 ФЗ «О персональных данных». Под ними подразумевается информация, которая относится к определенному гражданину. Более подробно о том, что относится к персональным данным, читайте здесь. В рамках трудовых отношений речь идет о следующих данных:
- о полном имени сотрудника (ФИО);
- о реквизитах документов гражданина (ИНН, страховых свидетельств, паспортов и других);
- о наличии определенного образования;
- о размере получаемых доходов;
- о месте, в котором проживает работник;
- о членах семьи сотрудника;
- о дате и населенном пункте, в котором он родился.
Вся перечисленная информация не должна передаваться другим лицам без согласия работника на обработку его персональных данных.
Ответственность за распространение персональных данных
Правовые основы применения различных взысканий за несанкционированную передачу личной информации заложены в ст. 23 и 24 Конституции РФ. Она предусматривает право граждан на неприкосновенность частной жизни и запрет на работу с персональными данными без их согласия.
Именно по этой причине его следует получать у соискателей работы и у действующих сотрудников. Понятие частной жизни детализировано в определении Конституционного суда РФ N 12-53-О от 28 июня 2012 года.
Речь идет о сведениях, относящихся к отдельному гражданину, которые касаются исключительно его и не подлежат общественному или государственному контролю.
Другой базовой нормой, устанавливающей ответственность за разглашение персональных данных гражданина, является ст. 24 закона N ФЗ-152. На основании указанных правил нарушители подвергаются административным, дисциплинарным и уголовным наказаниям.
Привлечение к уголовной ответственности
Наиболее суровое наказание предусмотрено для случаев, когда распространение личной информации носит преступный характер. Уголовная ответственность за разглашение персональных данных устанавливается в ст. 137 УК РФ. Ч.1 устанавливает способы следующие совершения правонарушений:
- размещение информации о частной жизни в СМИ;
- разглашение сведений в произведении, которое демонстрируется другим лицам;
- любое иная публичная демонстрация персональных данных в ходе выступления.
Любой из указанных способов предполагает распространение сведений среди неограниченного круга лиц в нарушение закона.
Фактором, необходимым для инициирования уголовного преследования, является отсутствие согласия гражданина. Нарушителю грозит штраф до 200 тыс. рублей (альтернативой будет изъятие суммы, эквивалентной полуторагодовому доходу преступника).
Другим наказанием служат обязательные работы (максимальный срок составляет 360 часов) или исправительные работы (до года) или принудительные работы (не более 2 лет). Нарушителя могут подвергнуть аресту на период 2 – 4 месяца или лишить свободы на срок до 2 лет.
online/5764-sluchai-nastupleniya-otvetstvennosti-za-narushenie-trudovogo-zakonodatelstva-dlya-rabotnika-rabotodatelya.
Обратите внимание: соблюдать тайну персональных данных работников обязаны все лица, которые имеют к ним доступ в связи с исполнением своих служебных обязанностей. То есть наказать за разглашение такой информации могут не только директора предприятия, но и сотрудника отдела кадров, бухгалтера, начальника отдела и т.д
Преступник, использовавший свое служебное положение для сбора и распространения информации (руководитель компании или уполномоченный сотрудник кадровой службы), получит более суровое наказание (ч. 2 ст. 137 УК РФ):
- Штраф будет находиться в пределах 100 – 300 тыс. рублей или составлять доход нарушителя за период от 1 до 2 лет.
- Дисквалификация может применяться в качестве основного наказания и продолжаться от 2 до 5 лет.
- Максимальный период ареста составляет полгода.
- Принудительные работы могут назначаться на срок до 4 лет.
- Потенциальный период лишения свободы также составляет 4 года.
2 последних вида наказания могут дополняться 5-летней дисквалификацией.
Ч. 3 ст. 137 УК не касается отношений работодателя и персонала (в ней речь идет о распространении сведений о потерпевших, являющихся подростками).
Ответственность за нарушения при работе с персональными данными
Согласно законодательству Российской Федерации при нарушении защиты персональных возможно привлечение работодателя к разным видам ответственности:
| Ответственность | Взыскание | Нормативный акт |
| Дисциплинарная | · замечание;
· выговор; · увольнение по соответствующим основаниям. |
ст.192 ТК РФ |
| Материальная | Возмещение материального ущерба* | ст. 238, 241 ТК РФ |
| Административная | Взыскание от предупреждения до 75 000 рублей.
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных: · предупреждение; · наложение административного штрафа на граждан в размере от 1000 до 3000 рублей, на должностных лиц — от 5000 до 10 000 рублей, на юридических лиц — от 30 000 до 50 000 рублей. Обработка персональных данных без письменного согласия работника: · административный штраф на граждан в размере от 3000 до 5000 рублей; на должностных лиц — от 10 000 до 20 000 рублей; на юридических лиц — от 15 000 до 75 000 тысяч рублей. Отсутствие неограниченного доступа к Положению об обработке персональных данных работников: · предупреждение; · наложение административного штрафа на граждан в размере от 700 до 1500 рублей; на должностных лиц — от 3000 до 6000 рублей; на индивидуальных предпринимателей — от 5000 до 10 000 рублей; на юридических лиц — от 15 000 до 30 000 рублей. Непредоставление работнику информации об обработке его персональных данных: · предупреждение; · административный штраф на граждан в размере от 1000 до 2000 рублей; на должностных лиц — от 4000 до 6000 рублей; на индивидуальных предпринимателей — от 10 000 до 15 000 рублей; на юридических лиц — от 20 000 до 40 000 рублей. Невыполнение требования об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки: · предупреждение; · административный штраф на граждан в размере от 1000 до 2000 рублей; на должностных лиц — от 4000 до 10 000 рублей; на индивидуальных предпринимателей — от 10 000 до 20 000 рублей; на юридических лиц — от 25 000 до 45 000 рублей. Невыполнение обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ: · административный штраф на граждан в размере от 700 до 2000 рублей; на должностных лиц — от 4000 до 10 000 рублей; на индивидуальных предпринимателей — от 10 000 до 20 000 рублей; на юридических лиц — от 25 000 до 50 000 рублей. Несоблюдение установленных требований или методов по обезличиванию персональных данных: · предупреждение; · административный штраф на должностных лиц в размере от 3000 до 6000 рублей. |
ст. 13.11 КоАП РФ |
| Уголовная | Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации:
· штраф до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев; · обязательные работы на срок до 360 часов; · исправительные работы на срок до 1 года; · принудительные работы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового; · арест на срок до 4 месяцев; · лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет. Те же деяния, совершенные лицом с использованием своего служебного положения: · штраф в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет; · лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет; · принудительные работы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового; · арест на срок до 6 месяцев; · лишение свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет. |
ст. 137 УК РФ |
За что оштрафуют
В таблице указаны основные виды административной ответственности.
| Гражданин | Должностное лицо | Индивидуальный предприниматель | Юридическое лицо | |
| Обработка ПД в ситуациях, не предусмотренных законодательством РФ. Например, если сайт при регистрации запрашивал паспортные данные. (ч. 1 ст. 13.11 КоАП) | 2 000 — 6 000 руб. | 10 000 — 20 000 руб. | — | 60 000 — 100 000 руб. |
| Оператор не сообщил гражданину о том, как используются его ПД. Любой человек вправе знать, как хранят его пресональные данные и кто в ответе за обработку. (ч. 2 ст. 13.11 КоАП) | 2 000 — 4 000 руб. | 8 000 — 12 000 руб. | 20 000 — 30 000 руб. | 40 000 — 80 000 руб. |
| Оператор опубликовал или передал ПД без письменного согласия. Например, сотовый оператор слил персональную информацию абонентов предусмотренных законодательством РФ спамерам без предупреждения. (ч. 3 ст. 13.11 КоАП) | 6 000 — 10 000 руб. | 20 000 — 40 000 руб. | 50 000 — 100 000 руб. (при повторном нарушении) | 30 000 — 150 000 руб. |
| Оператор не предоставил надзорному органу информацию об обработке ПД. Или же предоставил в урезанном и искаженном формате. (ч. 4 ст. 13.11 КоАП) | 100 — 300 руб. | 300 — 500 руб. | — | 3 000 — 5 000 руб. |
| В свободном доступе нет документа, в котором указаны цели, условия, сроки и другая информация по обработке персональных данных. Документ о политике обработки нужно опубликовать на сайте компании. (ч. 5 ст. 13.11 КоАП) | 1 500 — 3 000 руб. | 6 000 — 12 000 руб. | 10 000 — 20 000 руб. | 30 000 — 60 000 руб. |
| Оператор не изменил, не заблокировал или не удалил персональную информацию по требованию гражданина. Пример — у сотрудника поменялась фамилия или место регистрации. Он попросил изменить информацию, но этого не сделали. (ч. 6 ст. 13.11 КоАП) | 2 000 — 4 000 руб. | 8 000 — 20 000 руб. | 20 000 — 40 000 руб. | 50 000 — 90 000 руб. |
| ПД попали постороннему, после чего были распространены или скопированы. Пример — бумаги с персональной информацией сотрудников компании оставили на столе в бухгалтерии, и к ним получил доступ другой сотрудник. (ч. 8 ст. 13.11 КоАП) | 1 500 — 4 000 руб. | 8 000 — 20 000 руб. | 20 000 — 40 000 руб. | 50 000 — 100 000 руб. |
Это штрафы, которые действуют осенью 2023 года, но зимой некоторые суммы изменили. Еще летом в первом чтении одобрили проект поправок, а в ноябре комиссия дала добро ужесточению КоАП.Изменения вступают в силу 23 декабря 2023 года. Должностные лица и компании будут наказывать за несогласованную (неразрешенную) обработку сведений. Это понятие включает в себя согласие, которое нужно получить у человека еще до начала сбора и обработки. Закон говорит, что это не просто одобрение, а сознательное и обдуманное решение. Принять его можно ознакомившись со всеми целями и способами сбора. Эти и другие сведения оператор или обработчик доносит до человека так, чтобы у него не оставалось вопросов.
Важно: считается только письменное согласие. Электронная подпись равнозначна обычной «ручной» подписи
А еще человек должен иметь право в любой момент передумать и отозвать согласие. В этом случае оператор сразу же прекращает обработку и уничтожает данные, которые успел собрать.
Если же компания или должностное лицо собирает данные без согласия их владельца или после того, как он его отозвал, это повод для разбирательств. До декабря 2023 года это грозило штрафами до 150 тысяч рублей, а за повторное нарушение – до 500 тысяч. С 23 декабря штрафы за обработку без согласия выросли так:граждане будут платить 10 — 15 тысяч рублей и столько же за повторное,должностные лица и ИП – 100 — 300 тысяч рублей (повторно 300 — 500 для должностных, 500 тысяч — 1 млн для ИП),компании-операторы – 300 — 700 тысяч (повторно 1-1,5 млн).
Изменили и наказания в области биометрических данных. Специально для них с 23 декабря 2023 года ввели новую статью КоаП. В ней речь идет о сборе таких данных как фотография человека, отпечатки пальцев, запись голоса, рисунок сетчатки. Ими оперируют банки и МФЦ, а размещают их в Единой биометрической системе. Главная цель в том, чтобы человек мог дистанционно управлять банковскими или государственными услугами, когда не может посетить ведомство лично.
Для их сбора, помещения и изменения в Единой системе тоже нужно согласие. Если его нет, грозят такие штрафы:100 — 300 тысяч рублей для сотрудников банков и МФЦ,500 тысяч — 1 млн для самих учреждений.
Особенности работы с персональными данными соискателей
Работодатели и сотрудники должны помнить два главных момента, связанных с обработкой персданных:
- Ответственность за их правильную обработку начинается с момента, когда соискатель присылает резюме на опубликованную вакансию. Однако согласие не нужно, если человек сам разместил резюме в Интернете или же прислал его в компанию, которая не заявляла об открытых вакансиях.
- При устройстве на работу кандидат приносит паспорт, ИНН, СНИЛС, диплом. Для того, чтобы данные из этих документов внесли в трудовой договор, согласие не требуется. Как только работник подпишет договор, работодатель имеет право по умолчанию обрабатывать информацию. Без этого невозможно начислять зарплаты и отчитываться перед налоговой, пенсионным фондом.
Увеличили штрафы за нарушения законодательства о персональных данных
Опубликован Федеральный закон от 12.12.2023 № 589-ФЗ, который внес изменения в КоАП РФ. Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, должны проверить свои документы. О том, как поправки повлияют на бизнес и к каким изменениям готовиться, рассказываем в материале.
Как изменились штрафы
Возросли штрафы за нарушения в случаях, когда оператор обрабатывает персональные данные:
- Без письменного согласия субъекта персданных на их обработку, если наличие такого согласия обязательно. При этом в таких действиях нет признаков уголовно наказуемого деяния (ч. 2 ст. 13.11 КоАП РФ).
- С таким согласием, но без обязательных сведений, которые должны быть в него включены (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных).
Операторами персональных данных могут быть:
- Российские юридические и физические лица, а также государственные и муниципальные органы.
- Иностранные юридические и физические лица, если они заключили договор или соглашение с гражданином РФ либо получили его согласие на обработку (ч. 1.1 ст. 1 Закона о персональных данных).
Каким другим критериям нужно соответствовать, чтобы считаться оператором? Что такое обработка персданных? Ответы на эти и другие вопросы — в материале «Кто обрабатывает персональные данные».
Как изменились размеры штрафов:
|
На кого наложат штраф |
Старые размеры штрафов, ₽ |
Новые размеры штрафов, ₽ |
||
|
Первичное правонарушение |
Повторное правонарушение |
Первичное правонарушение |
Повторное правонарушение |
|
|
Гражданин |
От 6 000 до 10 000 |
От 10 000 до 20 000 |
От 10 000 до 15 000 |
От 15 000 до 30 000 |
|
ИП |
От 20 000 до 40 000 |
От 100 000 до 300 000 |
От 100 000 до 300 000 |
От 500 000 до 1 000 000 |
|
Должностное лицо |
От 40 000 до 100 000 |
От 300 000 до 500 000 |
||
|
Юрлицо |
От 30 000 до 150 000 |
От 300 000 до 500 000 |
От 300 000 до 700 000 |
От 1 000 000 до 1 500 000 |
Оператор может обрабатывать персданные, если получил на это согласие субъекта (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона о персональных данных). Но в ряде случаев оно не требуется.
Чтобы избежать претензий контролирующих органов, всем операторам нужно:
- Проверить, в каких случаях обязательно получать письменное согласие субъекта на обработку персданных, и оформить согласия, если это необходимо. Перечень случаев — в статье .
- Привести формы согласия на обработку персданных в соответствие с требованиями Закона о персональных данных. Перечень сведений, которые должны быть включены в согласие, — в материале .
Смотрите образец согласия на обработку персональных данных →
Также Федеральный закон от 12.12.2023 № 589-ФЗ дополнительно предусмотрел штрафы за нарушения в области размещения биометрических персональных данных в ЕБС. Штраф для юрлиц — до 1 000 000 ₽.
К каким изменениям готовиться
В Госдуме РФ находятся на рассмотрении два законопроекта, которые ужесточат ответственность за нарушения законодательства о персональных данных. Так, планируют:
- Предусмотреть новые составы в КоАП РФ — например, установить административную ответственность за то, что оператор не уведомил Роскомнадзор о намерении осуществлять обработку персданных, а также об утечке таких данных (законопроект № 502104-8).
- Увеличить административные штрафы за обработку избыточных по содержанию и объему персданных, а также их обработку в случаях, которые не предусмотрены законодательством (законопроект № 502104-8).
- Ввести уголовную ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, которая содержит персданные. Также к ответственности смогут привлечь за создание или обеспечение функционирования ресурсов, на которых такие данные хранят и через которые распространяют (законопроект № 502113-8).
| Персональные данные | |
| Как организовать процесс обработки персданных, чтобы избежать штрафов? Как правильно уведомить Роскомнадзор об обработке и утечке персданных и обеспечить их надлежащую защиту? Ответы на эти и другие вопросы, а также формы и образцы заполнения необходимых документов — в нашей инструкции. | |
Елизавета Аришак, эксперт по юридическим вопросам
Екатерина Дорохова, редактор
Этот состав не распространяется на правонарушения, которые связаны с обработкой персданных в условиях незаконного распространения сведений о защищаемых лицах ( КоАП РФ).
Требования к работодателю по обработке и передаче персональных данных
Статья 86 Трудового Кодекса РФ обязывает работодателя обрабатывать персональные данные работника исключительно в служебных целях: содействие подчиненным в продвижении по службе, получение ими образования, а также обеспечения личной безопасности сотрудников и контроль за качеством и количеством выполняемой ими работы.
Источником получения информации о персональных данных работника должен являться непосредственно он сам.
В исключительных случаях возможно истребование таких данных у третьих лиц, но опять же только с письменного согласия носителя. При этом работник должен быть предупрежден о последствиях отказа в предоставлении данных о себе под расписку.
Сведения, составляющие персональные данные специальной категории, получению и обработке при трудоустройстве не подлежат.
Согласие работника обязательно и при передаче его персональных данных третьим лицам. Исключение составляют лишь случаи, когда разглашение такой информации необходимо в целях предупреждения угрозы здоровью работника. При этом статья 88 Трудового Кодекса РФ запрещает передавать персональные данные в коммерческих целях.
Порой работники отказываются от сохранения в тайне и защиты личной информации о себе. Кто-то делает это под давлением руководителя, кто-то, напротив, из соображений доверия. Однако какой бы ни была причина отказа, он в любом случае незаконен, поскольку прямо противоречит конституционным нормам.
Как защитить данные своих клиентов и не допустить утечки
Любая утечка информации может нанести серьезный репутационный и экономический ущерб фирме. Снизится уровень доверия, уменьшится количество покупателей, станут вероятными штрафы со стороны проверяющих органов, огласка и суды, а затем и компенсации пострадавшим клиентам.
Проще этого избежать, чем разбирать последствия. Ниже — способы, как минимизировать вероятность утечки информации, но помните, что использовать их нужно в комплексе.
Проводить аудиты процессов
Внутри компании должны быть специальные локальные акты, в которых подробно описывается порядок работы с ПД — что можно собирать и в каких случаях, как нужно хранить информацию и кому передавать. Подобными документами может быть политика обработки данных и модели угроз безопасности (как и куда могут утечь данные). С каждым таким документов нужно знакомить сотрудников под подпись.
Если персонал работает с ПД, это должно быть прописано в должностной инструкции и в трудовом договоре в разделе конфиденциальности информации с указанием ответственности за нарушение.
С помощью периодических обзоров всех процессов приватности становится проще выявить риски утечки информации. Например, руководитель должен регулярно проверять, как работает команда, из каких задач состоит их рабочий день, на какие нормативные документы они опираются при работе, не открывают ли подозрительные письма в почте.
Также не будет лишним проверять, на каких основаниях передаются данные контрагентам или поставщикам. В случае, если это делается без соответствующих разрешений, это прямое нарушение закона.
Обучить сотрудников
Например, если у вас много сотрудников и они постоянно работают с ПД клиентов, для них нужно регулярно проводить обучение
Важно донести до персонала идеи правильного обращения с документами и наказания за их нарушение
Кроме того, важно формировать здоровый климат внутри компании. Если сотрудник будет комфортно чувствовать себя на работе и его все будет устраивать, попытки подкупить его с целью слива информации могут быть провалены
Часть задач можно поручить другим компаниям и агентствам, составив нужные документы о передаче персональных данных. Например, комплексный маркетинг проще поручить агентству и не занимать этим время внутренних сотрудников. Сделать это очень просто — нужно создать задачу на площадке Workspace. Затем — подождать, когда на нее откликнуться диджитал-агентства. Останется только выбрать среди них исполнителей, которые на ваш взгляд, справятся с задачей лучше всех. Готово, дальше можно заниматься другими задачами бизнеса, а с этим направлением будут работать профессионалы.
Вести учет носителей персональных данных
Важно следить за всеми компьютерами, флешками, серверами, на которых хранятся персональные данные клиентов. Все неучтенные переносные носители данных (флешки, жесткие диски) не должны подключаться к системе компании
Для контроля нужно вести специальный журнал — бумажный или электронный.
Журнал может выглядеть так:
|
Рег. номер |
Дата постановки |
Назначение |
Категория ПД |
Место хранения |
Должность пользователя |
Реквизиты акта об уничтожении |
|---|---|---|---|---|---|---|
С таким журналом вы точно будете знать, где находится вся техника, на которой размещены ПД. Например, не будет неучтенных флешек, которые можно вынести за территорию компании.
Шифровать данные
Один из эффективных способов защиты имеющейся информации. Даже если злоумышленники получат вашу базу, воспользоваться зашифрованными данными будет намного сложнее.
Использовать защитное ПО
В каждой организации, которая хранит у себя персональные данные пользователей, должно стоять специальное ПО. Среди них антивирусы, файрволы и другие программы, которые помогут защитить данные от возможного воровства. Отдельно стоит отметить DLP-системы, которые специализируются на защите от утечек.
Что такое трипваер и для чего он нужен
Проверять системы на уязвимость
Для этого компания может заказать пентест, анализ защищенности систем или их безопасности. Такие исследования могут быть направлены на:
-
специальную имитацию атаки хакеров на системы компании с целью определить ее слабые места;
-
проверку работоспособности систем компании и выявление всех возможных уязвимостей;
-
проверку соответствия информационной системы и всех связанных процессов рекомендациям нормативных документов, ПО и производителей оборудования.