Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за разглашение персональных данных в 2022 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Что такое персональные данные и конфиденциальность
Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.
Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.
Каким образом возможно законное использование персональных данных?
Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.
В соответствующем соглашение на персональные данные должно быть отмечено:
- Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
- Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
- Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
- Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
- Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
Ситуации из практики: что изменится с 1 июля
Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение – от 15 000 до 75 000 руб., на должностное лицо – от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).
Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.
Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Персональные данные: что грозит за нарушение закона
Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.
Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
К персональным данным могут быть отнесены:
- фамилия, имя, отчество;
- пол, возраст;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
Комментарии к ст. 13.11 КОАП РФ
1. Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» информация о гражданах (персональные данные) определяется как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ч. 1 ст. 3 указанного Закона). Свойства данной информации — обеспечивать идентификацию конкретного лица — предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных (для статистических или иных научных целей), а также в отношении общедоступных персональных данных (ч. 3 ст. 6, ст. 7). Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.
Такая защита обеспечивается в первую очередь путем установления конституционного запрета осуществлять сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также требованием судебного решения для ограничения тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. ст. 23 и 24 Конституции РФ). Статьей 19 Конституции РФ запрещаются также любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.
Федеральный закон » О персональных данных» рассматривает согласие субъекта персональных данных на обработку сведений о его частной жизни в числе одного из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, включая информацию персонального характера.
Из данного основополагающего принципа согласия могут иметь место исключения, предусмотренные в законодательном порядке, в том числе в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, оперативно-розыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, а также в случаях, связанных с медицинскими и медико-профилактическими целями (п. п. 2 — 7 ч. 2 и ч. 3 ст. 10, ч. 2 ст. 11, п. п. 2 — 5 ч. 3 ст. 12 Федерального закона «О персональных данных»).
2. Комментируемая статья закрепляет в качестве основания применения административной ответственности нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Упомянутый Федеральный закон регулирует данный порядок, устанавливая принципы и условия обработки персональных данных (ст. 5, ч. 1 ст. 6; ст. ст. 9 — 13), обеспечивающие, в том числе порядок реализации права субъекта данных на согласие; порядок осуществления иных прав субъекта персональных данных, включая право на доступ субъекта к своим персональным данным (ст. 14); права субъекта данных при обработке его персональных данных (ст. ст. 15 — 16); право на обжалование действий или бездействия оператора (ст. 17); обязанности оператора по обработке персональных данных (ст. ст. 18 — 22).
3. Объектами административных правонарушений являются общественные отношения, складывающиеся в области защиты информации. Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).
4. Субъектами правонарушений могут быть граждане, должностные, юридические лица, умышленно или по неосторожности допускающие указанные нарушения.
Законодательство РФ устанавливает обязанности представителей определенных профессий (врачей, адвокатов, нотариусов и др.) по сохранению в тайне полученной информации и указывает на уголовную, гражданскую и административную ответственность за разглашение таких сведений. УК РФ и ГК РФ предусматривают такую ответственность (см. ст. ст. 137, 138, 155 УК РФ, ст. 152 ГК РФ).
Помимо комментируемой статьи, КоАП РФ предусматривает также ответственность граждан и должностных лиц за нарушение правил защиты информации (ст. 13.12), за разглашение информации с ограниченным доступом (ст. 13.14), а также ответственность должностных лиц за отказ в предоставлении информации (ст. 5.39).
5. Дела о правонарушениях, предусмотренных комментируемой статьей, возбуждаются прокурорами (ч. 1 ст. 28.4) и рассматриваются судьями (ч. 1 ст. 23.1).
Ответственность за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. «Виды ответственности за нарушение закона о персональных данных»
Вид ответственности
Нарушение
Санкция
Норма
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.
Куда жаловаться на нарушение закона о персональных данных
Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?
Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.
Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.
Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.
Пояснение понятия разглашения персональных данных
Под разглашением понимается сообщение третьим лицам сведений, составляющих персональные данные человека. Информирование третьих лиц может происходить любым способом: в устной беседе, посредством электронной переписки и т.д.
Если разглашение происходит по просьбе или с ведома лица, чьи персональные данные сообщаются, то такие действия не грозят ответственностью. В случае же разглашения личных сведений без согласия гражданина, такие действия могут быть наказаны по закону.
Объём сведений, за разглашение которых можно привлечь лицо к ответственности определяется в каждом случае индивидуально. Так, например, суды наказывали граждан в соответствии со ст.137 УК за разглашение следующих сведений:
- ФИО, место жительства, год рождения, абонентский номер;
- Детализация телефонных звонков;
- Информация о передвижении автомобиля.
В каком случае разглашение персональных данных не является нарушением
Как мы уже выяснили, распространение личной информации без согласия самого гражданина – это противоправное действие, но в определенных случаях это разрешено делать.
К примеру, закон о неприкосновенности личной жизни не распространяется на те случаи, когда суд в процессе делопроизводства выдал постановления на получение телефонных переговоров, переписок лица. Для этого потребуется подать специальное ходатайство, которое и позволит это сделать.
Также правоохранительные органы имеют право на то, чтобы не следовать статье о нарушении частной жизни, если это требуется следствием и не терпит временных задержек. В этих случаях сотрудники госструктур обязаны в течение суток после того, как были закончены мероприятия, уведомить о своих действиях суд, который уже может принять решение об их законности.
Уголовная ответственность за разглашение персональных данных
Статья 137 Уголовного кодекса РФ посвящена нарушению персональных данных. Во-первых, состав преступления образуют действия как по незаконному сбору, так и по распространению сведений о частной жизни лица без его согласия. Это может быть семейная тайна, личная. А распространение — любые действия, в том числе в публичном выступлении, произведении или СМИ. Ответственность — штраф до 200 000 руб., либо обязательные работы (до 360 часов), принудительные работы (до 2 лет) с лишением права занимать определенные должности (до 3 лет), арест до 4 месяцев. Либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности (до 3 лет).
Если сведения стали нарушителю доступны в связи с определенной службой, то наказание ужесточается. Равно как и публичное распространение сведений о лице, не достигшем 16 лет. Но не просто персональных данных о несовершеннолетнем, но описание полученных им в связи с преступлением физических или нравственных страданий, а также данных, указывающих на его личность по уголовному делу.
Передача третьим лицам персональных данных, а именно телефонного номера и сопутствующих сведений о его владельце, включая подробное описание финансового достатка и семейного положения, уровня образования, также считается нарушением закона.
Подобные случаи могут возникнуть, когда кредитные компании или фирмы, желающие заполучить новых клиентов, могут попросить дать информацию о знакомых, родственниках, которых может заинтересовать предлагаемая услуга. Многие, не подозревая ничего плохого, без сомнений выкладывают консультантам необходимые сведения о номерах телефонов, их владельцах, даже уровне заработка. На первый взгляд, обыденная информация, но обнародованная без согласия владельца может стать частью административного правонарушения – статья 13.11 КоАП РФ, за пренебрежение законом 152-ФЗ «О персональных данных». Чтобы не стать заложником неловкой ситуации, необходимо избегать передачи персональных данных третьим лицам без согласия.
Заграничные стандарты
В странах ближнего и дальнего зарубежья принято выделять два подхода к определению личных данных. В Нидерландах, Новой Зеландии и Швеции такими считаются любые сведения о конкретном лице, в Великобритании детализируют понятие, устанавливая критерии и категории. Англоговорящие соседи не допускают сбор информации о расовом происхождении, религиозных и политических взглядах, умственном здоровье, судимости и сексуальной ориентации. В Соединенных Штатах есть закон, запрещающий руководителям проводить расследование прошлого работников. Если предприниматель хочет узнать все о своем подчиненном, ему необходимо взять письменное разрешение от него.
В России данное понятие может варьироваться от принципов организации, но, по своей сути – это сведения, необходимые работодателю для установления трудовых отношений. Законодательно нет определенного перечня. Вид необходимой информации определяется нормативным актом компании в пределах федерального законодательства.