За нарушения в сфере персональных данных предусмотрена административная, уголовная, гражданская и дисциплинарная ответственность. В отдельных случаях можно лишиться не только денег, но и свободы. Рассмотрим, в каких случаях работодателя могут привлечь к ответственности за персональные данные.
Содержание
Административная ответственность |
Скачайте образцы документов для работы: |
|
Таблица типичных ошибок в работе с персданными и штрафов |
Административная ответственность
За нарушения Закона о персональных данных №152-ФЗ работодатель может быть привлечен к ответственности по двум статьям КоАП РФ. Одна из них общая — за непредоставление информации; вторая — специальная, именно за невыполнение требований к защите личной информации граждан. Рассмотрим типичные ошибки, за которые компанию могут привлечь к административной ответственности.
Статья 13.11. Нарушение законодательства РФ в области персональных данных
По статье 13.11 КоАП РФ работодателя привлекут к административной ответственности если он избыточно собирает персданные или обрабатывает их без согласия владельца или не в соответствии с целями, не опубликовал политику по персданным и т. д.
Подробнее про типичные ошибки в работе с ПД и штраф за персональные данные смотрите в таблице. Примеры в таблице подготовлены по типичных нарушениям, которые выявляет Роскомнадзор при проверках.
К частым нарушениям по статье 13.11 КоАП РФ у работодателя относятся также следующие:
-
не утвержден список лиц, которые имеют доступ к персональным данным;
-
не проводится внутренний аудит работы с ПД;
-
работники не ознакомлены под личную подпись с Законом №152-ФЗ, Политикой и локальными актами оператора в сфере персональных данных;
-
не утвержден перечень мест хранения ПД.
За эти несоответствия оператора привлекут к ответственности за неправомерную обработку персональных данных. При этом штрафы за повторные нарушения в сфере ПД будут гораздо выше.
Статья 19.7. Непредставление сведений
Ответственность за нарушение в сфере персональных данных по этой статье 19.7 КоАП предусмотрена в трех случаях:
1. Оператор не уведомил Роскомнадзор о начале обработки персональных данных. Эта обязанность распространяется на всех, кто работает с личной информацией граждан: ИП, самозанятых, юридических лиц.
2. Оператор не направил информационное письмо в Роскомнадзор при изменении сведений, содержащихся в Реестре операторов ПД. Например, при изменении целей обработки персональных данных.
3. Оператор не представил информацию в течение 10 рабочих дней по запросу Роскомнадзора. Штраф для юридического лица составит от 3 000 до 5 000 рублей.
Уголовная ответственность
Такой вид наказания применяется, когда нарушения в сфере обращения с личной информацией гражданина причинили или могли причинить ему значительный вред. Например, очень осторожно следует обращаться с биометрическими данными несовершеннолетних и не публиковать без согласия родителей на сайтах компании или школы видеоролики с их участием.
Нарушение |
Возможные наказания |
Норма закона |
Стоит понимать, что у понятий «личная тайна» и «семейная тайна» нет конкретных определений.
Суды трактуют их довольно широко, а потому есть риск ответить перед законом за раскрытие практически любых личных сведений о другом человеке.
В целом, личной тайной считается все, что человек, хотел бы скрыть: болезнь, религиозные убеждения, уровень обеспеченности и т.д.
Например, одной компании пришлось отвечать перед судом за раскрытие перемещений автомобиля, а другой — за детализацию мобильных расходов клиента.
Понятие семейной тайны немного конкретнее: это информация об отношениях с родственниками, социально-бытовых условиях жизни и т.д. |
|
С использованием служебного положения — 137 ст, ч 2 |
Незаконное обнародование информации о потерпевшем, которому нет 16 лет, если эта информация:
Городская газета опубликовала статью о девочке-подростке, указав её ФИО и номер школы. При этом ни девочка, ни ее родители согласия на обнародование таких личных данных газете не давали. РКН вынес редактору письменное предупреждение, однако она на него не отреагировала, и в газете появилось еще несколько статей с личной информацией героев, не достигших 16 лет.
В результате суд постановил закрыть газету. |
|
|
Чиновник неправомерно отказался предоставить человеку документы, затрагивающие его права и свободы, либо предоставил ему неполную или заведомо ложную информацию — при условии, что эти действия нанесли вред правам и законным интересам граждан.
Чиновник также будет наказан за:
|
|
|
Неправомерный доступ к компьютерной информации, которая охраняется законом, если это вызвало ее уничтожение, блокирование, изменение или копирование.
Под неправомерным доступом здесь подразумевают любое взаимодействие с данными (включая просто ознакомление), на которое нет разрешения собственника или другого законного пользователя. |
|
ущерб от 1 млн. руб — 272 статья, ч 2 |
Описанные в 1 и 2 частях статьи правонарушения, если они были совершены:
|
|
|
Правонарушения, описанные в 1, 2 и 3 частях статьи, если они вызвали тяжкие последствия или угрозу их наступления (к таким случаям относят, например, смерть, существенный вред здоровью). |
лишение свободы до 7 лет |
Гражданско-правовая ответственность
Закон №152-ФЗ прямо устанавливает обязанность оператора возместить моральный вред гражданину при нарушении его прав. Причем гражданская ответственность за распространение персональных данных или иные неправомерные действия, которые причинили вред субъекту ПД, применяется независимо от возмещения ущерба, а также привлечения к административной или уголовной ответственности.
Размер компенсации морального вреда определяет суд.
Нарушение |
Что грозит |
Норма закона |
Оператор нарушил правила обработки личной информации, из-за чего человек понес материальные потери.
Это могут быть:
|
Полное возмещение убытков, если только меньший объем выплат не установлен законом или договором.
Если виновник как-то нажился на чужой личной информации, ее владелец вправе потребовать в дополнение упущенную выгоду в размере не меньшем, чем полученные нарушителем доходы. |
Статья 15 Гражданского кодекса |
Оператор нарушил правила обработки личностных сведений, что повлекло для человека моральный вред.
Мужчина обратился в суд: банк засыпал его смс и звонками с требованиями погасить задолженность по кредиту. Деньги он действительно брал, но уже давно выплатил. Однако до сотрудников банка это донести не удавалось.
Суд запретил банку обрабатывать ПД истца и постановил выплатить ему 15 тыс. руб. моральной компенсации. |
Компенсация морального вреда |
Статья 24 Закона «О персональных данных» |
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: |
|
Бланк приказа о назначении ответственного за обработку персданных |
|
Образец положений согласия на распространение персданных |
|
Примерная форма политики по персданным |
|
Пример нового согласия на обработку персданных
|
|
Чек-лист для аудита документов по персданным
|
Дисциплинарная ответственность
Нарушение |
Что грозит |
Норма закона |
Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы.
Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка. |
Увольнение |
Статья 81, пункт 6, подпункт «в» Трудового кодекса |
Работник допустил какие-либо другие нарушения при работе с личной информацией.
Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор. |
Замечание или выговор |
Статья 90 и статья 192 ТК РФ |
Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:
- защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
- прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
- донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.
Всё равно остались вопросы? Или хочется больше разборов реальных ситуаций из практики? Делимся практическим опытом и даем новейшую информацию в авторском курсе о персональных данных. Вам не придется самостоятельно изучать законы и разбирать нагромождения юридических формулировок. Мы уже сделали это за вас и упаковали в простые и понятные принципы. |