Все статьи

Вопросы и ответы Кадровые процедуры Кадровые документы Отдельные категории работников Воинский учет Оплата труда / пособия Проверки Отчеты Режим работы Персональные данные КЭДО Охрана труда Хранение и уничтожение документов Другие Другое

Ответственность за разглашение персональных данных

22 февраля

55884

Распечатать

За нарушения в сфере персональных данных предусмотрена административная, уголовная, гражданская и дисциплинарная ответственность. В отдельных случаях можно лишиться не только денег, но и свободы. Рассмотрим, в каких случаях работодателя могут привлечь к ответственности за персональные данные.

Содержание

Административная ответственность

Уголовная ответственность

Гражданско-правовая ответственность

Дисциплинарная ответственность

Таблица типичных ошибок в работе с персданными и штрафов

Административная ответственность

За нарушения Закона о персональных данных №152-ФЗ работодатель может быть привлечен к ответственности по двум статьям КоАП РФ. Одна из них общая — за непредоставление информации; вторая — специальная, именно за невыполнение требований к защите личной информации граждан. Рассмотрим типичные ошибки, за которые компанию могут привлечь к административной ответственности.

Статья 13.11. Нарушение законодательства РФ в области персональных данных

По статье 13.11 КоАП РФ работодателя привлекут к административной ответственности если он избыточно собирает персданные или обрабатывает их без согласия владельца или не в соответствии с целями, не опубликовал политику по персданным и т. д.

Подробнее про типичные ошибки в работе с ПД и штраф за персональные данные смотрите в таблице. Примеры в таблице подготовлены по типичных нарушениям, которые выявляет Роскомнадзор при проверках.

К частым нарушениям по статье 13.11 КоАП РФ у работодателя относятся также следующие:

не утвержден список лиц, которые имеют доступ к персональным данным;
не проводится внутренний аудит работы с ПД;
работники не ознакомлены под личную подпись с Законом №152-ФЗ, Политикой и локальными актами оператора в сфере персональных данных;
не утвержден перечень мест хранения ПД.

За эти несоответствия оператора привлекут к ответственности за неправомерную обработку персональных данных. При этом штрафы за повторные нарушения в сфере ПД будут гораздо выше.

Статья 19.7. Непредставление сведений

Ответственность за нарушение в сфере персональных данных по этой статье 19.7 КоАП предусмотрена в трех случаях:

1. Оператор не уведомил Роскомнадзор о начале обработки персональных данных. Эта обязанность распространяется на всех, кто работает с личной информацией граждан: ИП, самозанятых, юридических лиц.

2. Оператор не направил информационное письмо в Роскомнадзор при изменении сведений, содержащихся в Реестре операторов ПД. Например, при изменении целей обработки персональных данных.

3. Оператор не представил информацию в течение 10 рабочих дней по запросу Роскомнадзора. Штраф для юридического лица составит от 3 000 до 5 000 рублей.

Уголовная ответственность

Такой вид наказания применяется, когда нарушения в сфере обращения с личной информацией гражданина причинили или могли причинить ему значительный вред. Например, очень осторожно следует обращаться с биометрическими данными несовершеннолетних и не публиковать без согласия родителей на сайтах компании или школы видеоролики с их участием.

Нарушение	Возможные наказания	Норма закона
Сбор или распространение данных, которые составляют личную или семейную тайну человека, без его согласия. Обнародование таких данных. Стоит понимать, что у понятий «личная тайна» и «семейная тайна» нет конкретных определений. Суды трактуют их довольно широко, а потому есть риск ответить перед законом за раскрытие практически любых личных сведений о другом человеке. В целом, личной тайной считается все, что человек, хотел бы скрыть: болезнь, религиозные убеждения, уровень обеспеченности и т.д. Например, одной компании пришлось отвечать перед судом за раскрытие перемещений автомобиля, а другой — за детализацию мобильных расходов клиента. Понятие семейной тайны немного конкретнее: это информация об отношениях с родственниками, социально-бытовых условиях жизни и т.д.	штраф обязательные, исправительные, принудительные работы лишение права вести профессиональную или другую деятельность арест, лишение свободы	137 статья УК РФ, ч. 1 С использованием служебного положения — 137 ст, ч 2
Незаконное обнародование информации о потерпевшем, которому нет 16 лет, если эта информация: касается уголовного дела. раскрывает его страдания, полученный вред и подобные последствия, связанные с преступлением. Городская газета опубликовала статью о девочке-подростке, указав её ФИО и номер школы. При этом ни девочка, ни ее родители согласия на обнародование таких личных данных газете не давали. РКН вынес редактору письменное предупреждение, однако она на него не отреагировала, и в газете появилось еще несколько статей с личной информацией героев, не достигших 16 лет. В результате суд постановил закрыть газету.	штраф лишение права вести профессиональную или другую деятельность принудительные работы арест, лишение свободы	137 статья УК РФ, ч. 3
Чиновник неправомерно отказался предоставить человеку документы, затрагивающие его права и свободы, либо предоставил ему неполную или заведомо ложную информацию — при условии, что эти действия нанесли вред правам и законным интересам граждан. Чиновник также будет наказан за: уклонение от выдачи документов (например, он заявит, что нужных человеку данных нет, хотя они есть); бездействие (например, проигнорирует письменный запрос).	штраф лишение права вести профессиональную или другую деятельность	140 статья УК РФ
Неправомерный доступ к компьютерной информации, которая охраняется законом, если это вызвало ее уничтожение, блокирование, изменение или копирование. Под неправомерным доступом здесь подразумевают любое взаимодействие с данными (включая просто ознакомление), на которое нет разрешения собственника или другого законного пользователя.	штраф исправительные, принудительные работы ограничение свободы лишение свободы	272 статья УК РФ, ч. 1 ущерб от 1 млн. руб — 272 статья, ч 2
Описанные в 1 и 2 частях статьи правонарушения, если они были совершены: группой лиц по предварительному сговору; организованной группой; с использованием служебного положения.	штраф ограничение свободы принудительные работы лишение свободы	272 статья УК РФ, ч. 3
Правонарушения, описанные в 1, 2 и 3 частях статьи, если они вызвали тяжкие последствия или угрозу их наступления (к таким случаям относят, например, смерть, существенный вред здоровью).	лишение свободы до 7 лет	272 статья УК РФ, ч. 4

Гражданско-правовая ответственность

Закон №152-ФЗ прямо устанавливает обязанность оператора возместить моральный вред гражданину при нарушении его прав. Причем гражданская ответственность за распространение персональных данных или иные неправомерные действия, которые причинили вред субъекту ПД, применяется независимо от возмещения ущерба, а также привлечения к административной или уголовной ответственности.

Размер компенсации морального вреда определяет суд.

Нарушение

Что грозит

Норма закона

Оператор нарушил правила обработки личной информации, из-за чего человек понес материальные потери.

Это могут быть:

затраты на восстановление нарушенных прав потеря;
порча имущества;
упущенная выгода.

Полное возмещение убытков, если только меньший объем выплат не установлен законом или договором.

Если виновник как-то нажился на чужой личной информации, ее владелец вправе потребовать в дополнение упущенную выгоду в размере не меньшем, чем полученные нарушителем доходы.

Статья 15 Гражданского кодекса

Оператор нарушил правила обработки личностных сведений, что повлекло для человека моральный вред.

Мужчина обратился в суд: банк засыпал его смс и звонками с требованиями погасить задолженность по кредиту. Деньги он действительно брал, но уже давно выплатил. Однако до сотрудников банка это донести не удавалось.

Суд запретил банку обрабатывать ПД истца и постановил выплатить ему 15 тыс. руб. моральной компенсации.

Компенсация морального вреда

Статья 24 Закона «О персональных данных»

Топ-5 документов по персональным данным, которые скачивают ваши коллеги:

Бланк приказа о назначении ответственного за обработку персданных

Примерная форма политики по персданным

Пример нового согласия на обработку персданных

Таблица изменений в работе с персданными на 2022-2023 гг.

Чек-лист для аудита документов по персданным

Дисциплинарная ответственность

Нарушение

Что грозит

Норма закона

Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы.

Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка.

Увольнение

Статья 81, пункт 6, подпункт «в» Трудового кодекса

Работник допустил какие-либо другие нарушения при работе с личной информацией.

Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор.

Замечание или выговор

Статья 90 и статья 192 ТК РФ

Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:

защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.