+7(499)-938-42-58 Москва
8(800)-333-37-98 Горячая линия

Ответственность за нарушения при работе с персональными данными

Содержание

Персональные данные: что грозит за нарушение закона — статья

Ответственность за нарушения при работе с персональными данными

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1624

Ответственность за нарушение ФЗ-152 «О персональных данных»

Ответственность за нарушения при работе с персональными данными

Правовая защита информации и персональных данных регулируется Федеральным законом 152 ФЗ. Предписывается обработка такой информации, а также ее хранение и ликвидация.

Учитываются аспекты предоставления сведений по запросу органов власти, а также регламентируется использование информационных систем для обеспечения надлежащего доступа.

В отдельном порядке регулируется назначение штрафов и иных взысканий за распространение личных сведений.

Что такое персональные данные?

Федеральный закон «О персональных данных» принят 8 июля 2006 года, вступил в силу через полгода после официального опубликования. Редакция документа дорабатывалась и актуализировалась, поправки вносились с целью устранения неточных формулировок и приведения правового акта во взаимодействие с иными законами. Последние изменения были внесены 29 июля 2017 года.

Структурно Закон «О персональных данных» подразделяется на следующие главы:

  • общие положения, включающие в себя цель принятия подобного акта и сферу его регулирования, а также основные понятия и место правовых норм в законодательстве РФ;
  • принципы и условия обработки соответствующей информации;
  • права субъекта персональных данных – гражданина, личные сведения которого регулируются действием закона 152 ФЗ;
  • должностные обязанности оператора – физического или юридического лица, осуществляющего сбор и хранение информации;
  • государственный надзор за хранением и обработкой полученных сведений, ответственность и назначение штрафов.

Согласно положениям ФЗ 152 под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному лицу – субъекту. Во избежание штрафов обработку таких сведений осуществляют по следующим принципам:

  • законность и справедливость;
  • четкое определение целевого назначения, в рамках которого допускается обработка персональной информации;
  • не допускается объединять базы данных, цели и назначение которых отличаются друг от друга;
  • объем персональной информации определяется целью ее сбора, не допускается избыточность получаемых сведений, в противном случае налагается взыскание в виде штрафа;
  • учитываются такие аспекты как точность, достаточность и актуальность информации;
  • срок хранения не должен выходить за рамки достижения поставленной цели, после такового сведения подлежат уничтожению или обезличиванию.

Законом предписывается сохранение конфиденциальности персональных данных.

Не допускается их разглашение операторами третьим лицам, а также их распространение и использование без согласия субъекта.

В отдельных случаях обработка может осуществляться только с письменного разрешения гражданина. В случае нарушения на оператора накладывается взыскание — штраф или иная ответственность.

Ознакомьтесь  Закон о гостиницах

Скачать Федеральный закон «О персональных данных» можно по ссылке. Документ представлен со всеми изменениями, актуальными на 2017 год.

Нарушение предписаний законодательства влечет за собой ответственность. Чаще всего она выражается в виде штрафа, однако в отдельных ситуациях может повлечь за собой и более серьезное наказание.

Наказание за нарушение Закона «О персональных данных»

Штрафы по ФЗ 152 определяются статьей 24 об ответственности за нарушение Федерального закона «О персональных данных». Указанное положение ссылается на взыскания, предусмотренные законодательством. В штрафы включается и моральный вред, а также расходы, понесенные субъектом в связи с разглашением его данных.

Чтобы определить нормы законодательства по штрафам следует рассмотреть дополнительные правовые документы. Кодекс об административных правонарушениях определяет сумму штрафа в 10 тыс. рублей. Взысканию может быть подвергнуто физическое или должностное лицо, а также компания, за нарушение предписаний ФЗ 152.

Однако последние изменения в его положения предписывают штраф до 75 тыс. рублей. Также упростилась процедура взыскания.

Штраф в 20 и 50 тыс. ждет компанию в том случае, если не будет выполнено предписание Роскомнадзора или Трудовой инспекции соответственно. Последняя проводит проверку в соответствии с главой 14 ТК РФ, которая также защищает персональные данные работников от разглашения и предписывает ответственность за нарушения.

Статья 90 ТК РФ указывает на дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность. Согласно данному положению взыскание к нарушителю может применяться не только в виде штрафа или увольнения, но и в виде лишения свободы.

Последний пункт определяется статьей 137 УК РФ. Она предписывает ответственность за нарушения неприкосновенности личной жизни.

Такое наказание определяется в связи с использованием должностного положения и разглашением персональной информации. Если действия оператора попадут под действия данной статьи, то ему грозит штраф до 300 тыс.

рублей, принудительные работы или лишение свободы до четырех лет.

Нарушением, способным повлечь за собой уголовное наказание, может трактоваться и сбор избыточной информации. Под таковой понимается получение персональных сведений, не требуемых для достижения поставленных целей. В этой ситуации изначально следует предписание исключить их сбор и только потом штраф или уголовная ответственность.

Если у Вас есть вопросы, проконсультируйтесь у юриста Задать свой вопрос можно в форме ниже, в окошке онлайн-консультанта справа, внизу экрана или позвонив по номерам (круглосуточно и без выходных):

Источник: https://210fz.ru/otvetstvennost-po-fz-152-za-razglashenie-personalnyx-dannyx/

Защита персональных данных

Ответственность за нарушения при работе с персональными данными

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее – ПДн) – это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.

3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан.

Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. “О персональных данных”).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов.

Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством).

К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.

1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности.

При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей – для физических лиц; от 5000 до 10000 рублей – должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Источник: https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/

Ответственность за нарушение закона о персональных данных | Статьи | Журнал «Кадровое дело»

Ответственность за нарушения при работе с персональными данными

Персональные данные (ПДн) – это информация, которая содержит не только личные данные человека (ФИО, дата и место рождения, образование, регистрационные номера индивидуальных документов). При работе с персональными данными физические и юридические лица, должностные сотрудники обязаны выполнять требования нормативных актов о правилах сбора, хранения и использования.

Из этой статьи вы узнаете:

  • как может быть наказан нарушитель закона о персональных данных;
  • какая уголовная ответственность предусмотрена за нарушение закона о персональных данных;
  • в чем может быть выражена гражданско-правовая ответственность за нарушение закона о персональных данных.

Правомерные условия и принципы обработки персональных данных, права обладателя (работника) и обязанности оператора (работодателя) по сбору, сохранению и обеспечению безопасности личных документов и всех видов данных регламентируется Федеральным законом № 152-ФЗ, вступившим в силу 27 июля 2006 года. Помимо основного закона, к федеральным нормативным актам, регламентирующим ответственность за нарушения в области защиты персональных данных, относятся:

  • Федеральный закон № 149-ФЗ от 27. 07. 2006 «Об информационных технологиях и о защите информации», № 261 от 25. 07. 2011;
  • Трудовой кодекс – глава 14 ст. 86-90 ТК РФ;
  • Уголовный кодекс РФ – ст. 137 УК РФ, ст. 140 УК РФ, ст. 272 УК РФ;
  • Кодекс об административных нарушениях – ст. 5.39, ст. 13.11, ст. 13. 12, ст. 13.13, ст. 13.14;
  • Гражданский кодекс РФ – ст. 150-152 ГК РФ, ст. 946 ГК РФ.

Федеральным органом, который контролирует правильность и правомерность обработки персональных данных в соответствии с законодательством является Роскомнадзор, имеющий 65 территориальных отделения. Ответственность за нарушение закона о персональных данных в зависимости от типа и характера подвергается различного рода взысканиям и наказаниям.

О персональных данных: образце согласия на обработку персональных данных, читайте далее

Дисциплинарная ответственность за нарушение закона о персональных данных

Дисциплинарная ответственность может быть наложена на сотрудников организации, персонал кадрового и бухгалтерского отдела в случае разглашения личной информации и данных о работниках без их согласия. Действия работодателя или сотрудников компании, имеющих официальный доступ к персональным данным сотрудников, могут быть обжалованы и рассмотрены в судебном порядке.

При выявлении нарушений в процедуре обработке, сохранения и предоставления ПДн ответственные сотрудники могут быть наказаны административно – получить замечание, выговор или подвергнуться увольнению за несоответствие занимаемой должности. Увольнение может быть инициировано руководством организации за разглашение любой тайной информации, к которой в том числе относятся и персональные данные всех сотрудников.

Уголовная ответственность за нарушение закона о персональных данных

Уголовный кодекс РФ предусматривает различные категории ответственности за нарушение закона о персональных данных:

  1. По статье 137 УК РФ – за нарушение неприкосновенности частной жизни. Под эту статью могут попасть граждане, которые неправомерно собирают или публично распространяют любые сведения, касающиеся личной/частной жизни, придают огласке семейные тайны посредством выступлений или через средства массовой информации. При применении данной статьи уголовная ответственность может быть выражена в виде штрафа до 200 тыс. рублей, лишение свободы до 2 лет. Когда виновник при этом использует свое служебное положение и нарушает должностные обязанности – штраф до 300 тыс. рублей, срок лишения свободы может быть увеличен до 4 лет, запрет на право занимать определенную должность или осуществление конкретного вида деятельности до 5 лет.
  2. По статье 140 УК РФ – уголовная ответственность за нарушение закона о персональных данных может наступить при неправомерном отказе должностного лица в правомерном предоставлении ПДн. Статья предусматривает наказание в виде штрафа до 200 тыс. рублей, запрет на работу в определенной сфере или на должности сроком от 2 до 5 лет.
  3. Статья 272 УК РФ – ответственность за незаконный доступ к охраняемой компьютерной информации, то есть, данным, находящимся в памяти компьютера или на машинном носителе. Наказание в этой статье предусмотрено в виде штрафа размером до 200 тыс. рублей лишение свободы сроком до 2 лет.

Административная ответственность за нарушение закона о персональных данных

КоАП предусматривает ответственность по таким статьям:

  1. Статья 5.39 – отказ должностного лица в предоставлении информации гражданину/адвокату на законных основаниях. Чревато наложением штрафных санкций от 1 до 3 тыс. рублей.
  2. Статья 13.11 – нарушение законодательно установленной процедуры сбора, хранения, использования и распространение ПДн. Предполагает предупреждение или штраф для физ. лица в размере от 300 до 500 руб., для должностного лица – от 500 до 1000 рублей, для компании/организации – от 5 до 10 тыс. рублей.
  3. Статья 13.12 – нарушение правил защиты персональных данных и тайной информации. Предполагает наказание за использование несертифицированных систем, неустановленных баз и сомнительных банков информации для физ. лиц штраф от 500 до 2000 руб., для должностных лиц – от 2500 до 3000 руб., для организаций – от 20 до 25 тыс. рублей.
  4. Статья 13.13 – деятельность в области защиты информации без правомерно оформленного федерального разрешения/лицензии считается незаконной. При нарушении этого закона на гражданина может быть наложен штраф от 500 до 1000 руб., на должностное лицо – от 2 до 3 тыс. руб., на организацию – от 10 до 20 тыс. руб. Если информация составляет государственную тайну, наказание соответственно увеличивается до 4-5 тыс. руб. для должностных лиц, до 30-40 тыс. руб. с конфискацией нелицензионных средств защиты для организаций.
  5. Статья 13.14 – ответственность за разглашение информации, доступ к которой ограничен федеральным законом, при исполнении служебных и должностных обязанностей (в том числе при выполнении адвокатских услуг). Может быть применено наказание в виде штрафа для гражданских лиц – 500-1000 руб., для должностных лиц – 4-5 тыс. руб.

Гражданско-правовая ответственность за нарушение закона о персональных данных

Гражданский кодекс предусматривает защиту частных, семейных данных, деловой информации/репутации. Это отражено в статьях 150, 151 и 152 ГК РФ, тайна страхования – ст. 946 ГК РФ. Степень ответственности и наказание по этим нормативным актам определяется в судебном порядке. Наказание может быть выражено в виде денежной компенсации за нанесенный моральный ущерб.

Рекомендуем материалы по теме:

Источник: https://www.kdelo.ru/art/383878-qqq-16-m11-otvetstvennost-za-narushenie-zakona-o-personalnyh-dannyh

Ошибки при работе с персональными данными – штрафы за нарушение закона о персональных данных – МамаЮрист.ру

Ответственность за нарушения при работе с персональными данными

Если ваша компания или организация нанимает сотрудников, собирает и обрабатывает ту или информацию о клиентах (ведет базу данных клиентов, или делает почтовые рассылки), имеет форму обратной связи на своем сайте, где посетители оставляют свои номера телефонов и адреса электронной почты, то с точки зрения законодательства вы уже являетесь оператором персональных данных, а из этого следует и ваша ответственность за обеспечение законной обработки этих сведений.

А ответственность за нарушение требования по обработке и хранению личных данных немалая: сейчас, во втором квартале 2017 года, штраф за нарушения составляет до 10 000 рублей, а уже с 01.07.2017 новый штраф за нарушения при работе с персональными данными вырастет до 70 000 рублей.

Кто является оператором персональных данных?

Статья №3 в пункте 2 Федерального закона N 152-ФЗ «О персональных данных» определяет кто является оператором персональных данных:

Таким образом в Российской Федерации нет такой компании, которая не имела бы отношения к оперированию персональными данными: даже если ваша компания просто набирает сотрудников, она уже подпадает под это понятие со всей вытекающей ответственностью перед законом.

С лета 2017 года кроме увеличения размера штрафа за нарушение требований хранения и обработки персональных данных, законодатели расширяют поле ответственности предпринимателей, вводя новые основания для наложения штрафа в статью 13.11 КоАП РФ (см. Закон № 13-ФЗ от 07 февраля 2017). К основаниям для наложение штрафа на оператора персональных данных относятся:

  • невыполнение требований по уничтожению персональных данных,
  • невыполнение требований по их обезличиванию,
  • игнорирование запросов субъекта и отсутствие политики конфиденциальности при работе с персональными данными.

Ниже мы рассмотрим подробности данного вопроса: основные ошибки при работе с персональными данными, которые могут привести к штрафным санкциям со стороны Роскомнадзора.

Обработка персональных данных при найме работников без их согласия

Пример: при проведении проверки компании контролер Роскомнадзора не нашел в листе кандидата на должность специального поля, в котором ставится отметка о согласии на обработку персональных данных. Директор компании получил административное наказание в виде предупреждения.

Пытаясь обжаловать полученное предупреждение в суде, руководитель компании предъявил свои доводы о том, что специальная комиссия, созданная на предприятии для работы с персональными данными, следит за соблюдением на предприятии должных мер по поддержанию законного порядка сбора, использования и хранения личных данных работников, и заполнение личных карточек работников производится в присутствии данной комиссии. А положение о согласии работника на обработку его личных данных есть в тексте трудового договора. Но Самарский суд в постановлении № 4а-907/2016 от 22 августа 2016 г. не нашел эти доводы убедительными для отмены наказания.

Как не избежать штрафа за подобное нарушение: в каждой форме документов, в которой подразумевается наличие персональных данных, должно присутствовать поле, в котором владелец персональных данных мог бы согласиться на их обработку. Проведение аудита кадровых документов поможет быстро найти возможные дефекты документов, способных стать причиной штрафных санкций.

Передача персональных сведений клиентов третьим лицам

Например: стандартная ситуация, когда у абстрактного гражданина Иванова есть задолженность по кредиту перед банком. Банк передает персональные данные «гражданина Иванова» коллекторской конторе, с которой у кредитной организации заключен договор.

После этого «гражданин Иванов» и все его родственники получают каждый день множество неприятных минут общения с коллекторами.

Важно при этом, что «гражданин Иванов» не давал банку разрешения на передачу своих личных данных третьим лицам в подписанном сторонами кредитном договоре.

Потребовав у банка уничтожить его личные данные и прекратить незаконные действия, гражданин получил отказ и был вынужден обратиться в суд.

В своем заявлении гражданин указал, что коллекторы требовали погасить долг, угрожая ему в грубой форме, чем нанесли ему и его семье моральный ущерб, который он требует компенсировать, поскольку он переживал за жизнь и здоровье своих родных, которым поступали угрозы от коллекторов.

В данном случае суд удовлетворил требования истца, признал действия банка незаконными, обязал коллекторскую организацию уничтожить персональные данные гражданина, а также взыскал с банка и с коллекторов требуемую компенсацию (см. решение Ярославского областного суда по делу №33-939/2012 от 05 марта 2012 года).

Как не допустить санкции за передачу ПД третьим лицам: помните, что передача чужих персональных данных законна только в том случае, если сам субъект дал на это свое согласие.

Единственное исключение из этого правила может быть только в случае, когда банк или другая компания продает долг гражданина по договору переуступки.

При этом кредитор, купивший право на долг, обязан оповестить субъект персональных данных о том, что теперь его персональные данные находятся у него.

Сбор персональных данных через форму обратной связи на сайте без публикации политики конфиденциальности

Пример: компания ООО «Тамбовская Городская Юридическая Компания» (ООО «ТГЮК») имела на своем сайте стандартную форму обратной связи, через которую посетители сайта могли отправлять сообщения администратору сайта.

Форма была предельно простой и имела всего три поля: имя (причем вводить его было необязательно), тема сообщения и само сообщение. Роскомнадзор на основании того, что на сайте не было политики конфиденциальности, оштрафовал компанию на 1 000 рублей, в соответствии со статьей 13.11 КоАП РФ.

ООО «ТГЮК» не согласилась с таким положением вещей, поскольку идентифицировать пользователя на основании такой контактной формы, в которой единственное идентифицирующее поле (имя) было необязательным, и направила заявление в суд.

Но суд не внял доводам компании и оставил меру наказания без изменения (см. постановление Тамбовского областного суда по делу №4А-288 от 04 октября 2016 г.

Как избежать штрафа за подобное нарушение: необходимо помнить, что размещение на своем сайте формы обратной связи с посетителями, через которую собираются личные данные, является работой с персональными данными и, соответственно, требует выполнения обязанностей оператора персональных данных. К этим обязанностям относится:

  • обязательное уведомление Роскомнадзора о намерении компании собирать и обрабатывать персональные данные посетителей сайта;
  • получение согласия субъекта на сбор его данных;
  • разработать и опубликовать на своем сайте политику конфиденциальности при работе с персональными данными.

Штраф за отсутствие опубликованной на сайте политики конфиденциальности с 1.07.2017 года будет составлять 30 000 рублей. Соответствие требованиям Роскомнадзора требует при разработке контактной формы предусмотреть необходимость согласиться с политикой конфиденциальности предприятия до момента отправки формы.

Игнорирование отказа клиента от получения рекламы в сообщениях

Пример: согласие на обработку персональных данных Сбербанком было отозвано клиентом через почту России. Но это не помешало банку выслать на мобильный телефон этого клиента предложение рекламного характера, где ему предлагалось заключить договор кредитования. Клиент был вынужден подать в суд иск о незаконном использовании его персональных данных.

Банк, защищаясь, приводил доводы о том, что, во-первых, в тексте сообщения не называлось персональных данных клиента, по которым можно было бы его идентифицировать, и, во-вторых, данное сообщение было индивидуальным предложением этому клиенту, а вовсе не рекламой. Однако суд настоял на том, что сообщение было выслано исходя из того, что банк имел у себя такую личную информацию клиента, как его номер телефона, что позволило ему выслать рекламу, не считаясь с отзывом клиента согласия на обработку его данных.

То есть в суде было доказано использование персональных данных банком без получения согласия клиента и ответчику присужден штраф в 100 000 рублей в пользу истца для компенсации морального вреда (см. решение Новосибирского обл. суда по делу № 33-2662/2015 от 02 апреля 2015 года).

Как избежать штрафа и санкций за рассылку рекламных сообщений: нарушение воли субъектов персональных данных о недопущении использования их данных игнорировать нельзя, поскольку с 01.07.2017 г. штрафные санкции за подобное нарушение составляют до 40 000 рублей.

Субъект персональных данных между тем имеет право отказаться от обработки его данных, а также может получить информацию о том, кто имеет доступ к его данным, какие именно данные у него имеются и с какой целью и каким способам обрабатываются.

Поэтому контакты лиц, имеющего доступ к персональным данным клиентов и предоставляющего информацию по клиентским запросам, должны быть открыто опубликованы и доступны для изучения.

Работа с персональными данными без локализации на территории РФ

Пример: Роскомнадзор обнаружил, что персональные данные пользователей из России в социальной сети Linkedin записываются, накапливаются, систематизируются и хранятся за рубежом, что является нарушением российского законодательства.

Направив требование об устранении нарушений в компанию, контролеры не добились его исполнения и в результате доступ к данной сети был ограничен, компания была внесена в реестр нарушителей прав субъектов персональных данных и деятельность linkedin была признана незаконной.

(МосГосСуд по делу №33-38783/2016 г. от 10 ноября 2016г.).

Как избежать санкции за подобную ошибку: обеспечение локализации персональных данных граждан ложится на плечи оператора персональных данных, согласно закона от 1.09.2015г.

Для устранения нарушения необходимо провести инвентаризацию баз данных и информационных систем. По каждой базе необходимо определить ее местонахождение. Локализация персональных данных касается в первую очередь этапа ее сбора.

Хранение и обработка собранных персональных данных может производиться и за пределами территории РФ.

Рекомендации по соблюдению требований ФЗ «О персональных данных»

Чтобы обеспечить соответствие требованиям законодательства в области защиты персональных данных, требуется или привлечение сторонних специалистов, что выливается в изрядные расходы, или работа внутри компании силами сотрудников.

Во-первых, необходим аудит сложившейся ситуации с обработкой и хранением персональных данных, ведь в любой компании личные данные обрабатываются в таких подразделениях, как отдел кадров, отдел маркетинга, служба продаж, доставки и пр. Проведя анализ движения и обработки персональных данных, можно выяснить степень защищенности информационной системы предприятия, эта степень зависит от количества субъектов, категории обрабатываемых данных и от типа информационных угроз.

Рекомендуется создать такой документ, как модель угроз, в котором перечислить виды предполагаемых нарушителей и распределить угрозы информационной безопасности по рассчитанной их актуальности. Рекомендуется использовать на данном этапе базовую модель угроз, которую можно взять на официальном сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК РФ).

Проводя аудит, не обойтись без анализа действующей на предприятии организационно-распорядительной документации, то есть приказов, журналов, регламентов, положений и пр.

В первую очередь рассматриваются документы, связанные с персональными данными: согласие на обработку персональных данных, порядок из передачи третьим лицам, список членов комиссии, допущенных к обработке личной информации и порядок ее уничтожения.

Во-вторых, лицу ответственному за информационную безопасность поручается задача по проектированию технического решения сбора, обработки и хранения персональных данных. Он разрабатывает комплекс мер для обеспечения нужного уровня защиты, а именно: разработка подсистем, обеспечивающих ограничение программной среды, управление доступом, защита информационных носителей и т.п.

Разработка плана процесса защиты персональных данных может быть выполнена как силами сотрудников компании, так и с привлечением внешних подрядчиков и исполнителей. На этом этапе составляется перечень лиц, ответственных за обработку персональных данных, затем устанавливается уровень доступа к данным.

Рассчитываются затраты, формулируются требования к уровню защиты, создается план проекта и определяются риски.

После планирования и разработки системы безопасности информации идёт собственно её внедрение на предприятии (в компании), то есть покупка и установка оборудования из реестра сертифицированных средств защиты информации, программного обеспечения, настройка оборудования, пуско-наладочные работы и испытания по приемке, а также разрабатывается эксплуатационная документация. Реестр средств защиты, прошедших сертификацию, находится на сайте Федеральной службы по техническому и экспортному контролю РФ.

Далее идёт прохождение аттестации информационных систем организацией, имеющей лицензию ФСТЭК РФ на защиту конфиденциальной информации.

Аттестация добровольна для частных организаций и обязательна для государственных информационных ресурсов. Теперь можно запускать в действие непрерывный процесс защиты персональной информации.

Процесс защиты зависит от многих переменных: от изменения в законодательстве, от использования нового оборудования и программного обеспечения.

При любом изменении в деятельности предприятия требуется вносить изменения в документацию по защите личных данных и, при необходимости, внедрять необходимые инструменты и средства защиты информации в дополнение к имеющимся, чтобы не допустить ошибки при работе с персональными данными.

Имейте в виду, что за прошлый год количество проверок Роскомнадзора на соответствие требованиям о защите персональных данных выросло на 70 %, а повышение штрафов за нарушения требований хранения и обработки персональных данных лишь подстегнет проверяющие органы к более активным рейдам.

Источник: https://www.mamajurist.ru/predprinimatelstvo/oshibki-pri-rabote-s-personalnymi-dannymi/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.