Ответственность за предоставление персональных данных третьим лицам

В статье собрана самая важная информация на тему: "Ответственность за предоставление персональных данных третьим лицам" и тема раскрыта с профессиональной точки зрения. Если у вас в процессе чтения возникли вопросы, то задавайте их нашему дежурному консультанту.

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Защита персональных данных: какие сведения не вправе разглашать бухгалтер

Автор: электронный журнал «Зарплата»

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Круг сведений о заработной плате

Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

Доступ к персональным данным

Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).

В каких случаях персональные данные можно сообщить третьему лицу

Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).

В каких случаях персональные данные нельзя передать третьему лицу

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

Так, нельзя передавать данные о работнике, если:

— с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

— нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

Защита персональных данных и ответственность за их разглашение

В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

— сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

— они стали известны работнику в связи с исполнением им трудовых обязанностей;

— уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

Административная ответственность

За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

Как корректно отказать в предоставлении сведений

В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

Запрос в письменной форме

В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.

Читайте так же:  Проверка достоверности сведений о доходах муниципальных служащих

Письменное согласие работника

В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

[3]

Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

Уведомление об отказе

В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.

Обработка персональных данных. Кому можно передать персональные данные клиента

Статьи по теме

Существует много требований к получению согласия клиента и обработке полученных данных. Многие из них закреплены не в законе о персональных данных, а в подзаконных актах, изменения в которых сложно отслеживать. При этом подход контролирующих лиц может оказаться довольно формальным, что ведет к применению мер административной ответственности. В особенности это касается вопросов передачи персональных данных третьим лицам (например, коллекторским агентствам), а также использования их в маркетинговых целях. Судебная практика в данной сфере также достаточно противоречива. Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных.

Внимание! Вы находитесь на профессиональном сайте для судебных юристов. Для чтения статьи может потребоваться регистрация.

Для передачи персональных данных клиента нужно его прямое письменное согласие

Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ. Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельств дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении. То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и собрать полный объем доказательств, который позволил бы установить виновность именно данного лица в совершении административного правонарушения.

Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства. С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица. При этом защита персональных данных чаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.

Защита персональных данных физических лиц регулируется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача. Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае их несоблюдения нарушитель может быть привлечен к административной ответственности.

Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми они выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.

Первая группа нарушений включает использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми коллекторами. При этом следует отметить, что практике известны два различных вида таких договоров: договор уступки прав требования (цессии) между кредитной организацией и коллекторским агентством и агентский договор между указанными сторонами. В обоих случаях для исполнения договоров необходима и подразумевается передача персональных данных физического лица, которое не исполняет принятые на себя обязательства по возврату полученного кредита.

При заключении такого рода договоров кредитная организация рискует быть привлеченной к ответственности, поскольку передача персональных данных заемщика юридическому лицу, которое не обладает лицензией на осуществление соответствующей деятельности, может быть признана нарушением действующего законодательства.

Как правило, основанием для привлечения кредитной организации к ответственности при нарушении требований законодательства о защите персональных данных является отсутствие письменного согласия физического лица на передачу своих персональных данных (хотя в соответствии с требованиями законодательства такое согласие является обязательным и должно быть выражено в соглашении между субъектом и оператором персональных данных). Согласие должно быть выражено в письменной форме, быть ясным и недвусмысленным.

Полезные документы для судебных юристов

Передать данные клиента без его согласия можно для защиты интересов оператора

При разрешении вопроса о привлечении юридических лиц к ответственности за нарушение законодательства о персональных данных судебные органы сталкиваются со следующей правовой коллизией. Передача персональных данных заемщика действительно запрещена без его прямого письменного согласия. Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика. В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (физическое лицо). Также исключением являются случаи, когда обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. п. 5, 7 ст. 6, п. 2 ст. 9 Закона № 152-ФЗ). Очевидно, что привлечение третьего субъекта осуществляется оператором (кредитной организацией) для защиты своих законных интересов, поскольку со стороны заемщика имеет место неисполнение принятых на себя обязательств.

Таким образом, поскольку обработка (передача) персональных данных заемщика производится для исполнения кредитного договора, стороной которого является заемщик, и для осуществления прав и законных интересов кредитной организации, то такая обработка может быть произведена и без согласия субъекта персональных данных (определения Московского городского судаот 06.10.2011 по делу № 33–32111, от 06.04.2012 по делу № 33–8687).

И действительно, логика законодателя, допустившего исключения из общего правила для соблюдения интересов кредитора при просрочках исполнения заемщиками своих обязательств, должна быть продолжена и в правоприменительной практике. Ведь в данном случае передача персональных данных является следствием неисполнения физическим лицом своих обязательств по возврату кредита и претерпевания кредитором негативных последствий нарушения договора.

При этом необходимо отметить, что право физического лица на защиту своих персональных данных не является абсолютным, поскольку корреспондирующей нормой в данном случае будет являться ст. 10 ГК РФ, запрещающая злоупотребление гражданскими правами. Абсолютное отсутствие доступа третьих лиц к персональным данным субъекта являлось бы именно таким злоупотреблением, поскольку ограничило бы иных участников гражданского оборота в заключении, например, тех же агентских договоров. На наличие специального ограничения в области защиты персональных данных указывал и Верховный суд РФ. Так, в одном из дел суд пришел к выводу, что право на отзыв субъектом персональных данных согласия на обработку персональных данных не является безусловным, особенности обработки персональных данных могут устанавливаться федеральным законом (определение ВС РФ от 27.03.2012 № 82-В11-6).

Читайте так же:  Отказ в гарантийном ремонте автомобиля судебная практика

Впрочем, есть и противоположная судебная практика, когда суды приходят к выводу о недопустимости передачи персональных данных кредитными организациями третьим лицам без прямого волеизъявления физического лица, даже в случае неисполнения последним кредитного договора (постановления Девятого арбитражного апелляционного суда от 26.12.2012 по делу № А40-109454/2012, ФАС Западно-Сибирского округа от 20.03.2013 по делу № А27-13226/2012).

При этом остается неясным, где проходит граница, позволяющая правоприменителю ссылаться на установленные исключения из общего правила, а в каких случаях такая ссылка становится невозможной. Поэтому объем и предмет доказывания по делам об оспаривании привлечения к административной ответственности операторов персональных данных может в каждом отдельном споре отличаться.

Не стоит забывать и о том, что нередко физические лица или уполномоченные на то организации обращаются в органы прокуратуры для расследования действий, совершенных операторами персональных данных. В этом случае при вынесении должностным лицом прокуратуры представления кредитной организации будет целесообразно обжаловать его в судебном порядке. При этом необходимо привести аналогичные доводы о допустимости передачи персональных данных без согласия субъекта для исполнения договора, стороной которого он является, а также для защиты законных интересов оператора.

Привлечение к административной ответственности в данном случае является не единственной опасностью для кредитной организации. В случае признания ее действий по передаче персональных данных незаконными исполнение заключенного агентского договора или договора цессии становится крайне затруднительным. А это несет для кредитной организации гражданско-правовые риски, связанные с выплатой штрафов или иными негативными последствиями.

Согласие клиента на обработку данных в рамках договора не дает права использовать их в маркетинговых целях

Достаточно часто кредитные организации при использовании персональных данных физических лиц в маркетинговых целях допускают нарушения требований законодательства о защите персональных данных. Впрочем, субъектами таких правонарушений выступают не только кредитные организации, но и операторы сотовой связи, магазины розничной торговли и иные хозяйствующие субъекты.

Требования законодательства при регулировании данной сферы общественных отношений являются определенными и однозначными. Так, обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного получения согласия субъекта персональных данных (ст. 15 Закона № 152-ФЗ). Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных лишь в том случае, если оператор (хозяйствующий субъект) не докажет, что такое согласие было им получено в установленном порядке.

Как уже было сказано выше, получение согласия субъекта на обработку персональных данных не требуется, если такая обработка непосредственно связана с исполнением и (или) заключением договора. Очевидно, что достижение маркетинговых целей юридического лица не связано с исполнением обязательств по заключенному договору.

Таким образом, ситуация представляется достаточно однозначной: хозяйствующий субъект не вправе использовать персональные данные физического лица в маркетинговых целях для продвижения своего продукта без предварительного согласия этого дица.

Однако на практике перед правоприменителем нередко возникает дилемма, связанная с тем, что физическое лицо ранее уже предоставило оператору свои персональные данные, и оператор ссылается на это обстоятельство как на подтверждение правомерности своих действий.

Для разрешения этой ситуации следует иметь в виду, что последующее использование персональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. Ведь изначально оно предоставило оператору свои персональные данные для совершенно иных целей. Следовательно, для использования персональных данных в целях рекламы нового продукта оператору необходимо вновь получить согласие физического лица на обработку его данных. В противном случае привлечение оператора к административной ответственности представляется обоснованным.

Также стоит сказать и о возникновении коллизионных отношений в ситуации, когда оператор персональных данных сталкивается с требованием уполномоченного органа или должностного лица предоставить персональные данные о физических лицах. Как правило, лицами, требующими такую информацию, являются судебные приставы-исполнители, которые в рамках предоставленных им полномочий осуществляют функции по розыску должников.

До определенного момента арбитражные суды принимали доводы привлеченных к административной ответственности операторов персональных данных о том, что судебные приставы-исполнители не вправе запрашивать (а операторы, соответственно, не вправе предоставлять) информацию о персональных данных физических лиц без их согласия (постановления ФАС Волго-Вятского округа от 01.12.2010 по делу № А39-2063/2010, Северо-Кавказского округа от 18.01.2012 по делу № А53-4649/2010).

Суды, отменяя постановление о привлечении операторов к административной ответственности за непредставление данных, исходили из недопустимости подмены судебным приставом функций правоохранительных органов.

Однако ситуация коренным образом изменилась, когда несколько таких споров дошли до Высшего арбитражного суда РФ. Так, в одном из дел ВАС РФ указал, что запрос персональных данных входит в полномочия судебного пристава-исполнителя, а потому отказ в предоставлении ему таких данных неправомерен (постановление Президиума ВАС РФ от 28.02.2012 по делу № А12-23512/2010).

Схожая позиция была отражена и в других делах. Так, в одном споре с оператором связи суд указал, что судебный пристав-исполнитель, действуя в рамках возбужденного исполнительного производства, имеет право запрашивать информацию, имеющую непосредственное отношение к исполнению судебных актов, в частности, о зарегистрированных абонентских номерах должника (постановление Восемнадцатого арбитражного апелляционного суда от 01.06.2011 по делу № А07-770/2011).

Учитывая изложенное, можно сделать ряд выводов. Во-первых, даже прямое указание в законодательстве на возможность обработки персональных данных без согласия субъекта на практике в ряде случаев оказывается нежизнеспособным и зачастую ведет к привлечению оператора связи к административной ответственности.

Во-вторых, однократное предоставление субъектом своих персональных данных не означает возможность дальнейшего использования этих данных в маркетинговых целях для заключения новых договоров.

Видео (кликните для воспроизведения).

И в-третьих, запросы уполномоченных органов о предоставлении им сведений, составляющих персональные данные физических лиц, правомерны и подлежат исполнению, поскольку в этом случае не происходит подмены ими функций правоохранительных органов.

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Читайте так же:  Травматический пистолет какие документы нужны для разрешения

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

[1]

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

[2]

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.
Читайте так же:  Расписка о неразглашении конфиденциальной информации образец

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Что нужно знать о передаче персональных данных третьим лицам

Статьи по теме

Если компания незаконно занимается передачей третьим лицам персональных данных своих сотрудников, клиентов или контрагентов, ее ждет крупный штраф или иные административные меры. В каких случаях закон позволяет передавать такие данные.

С претензиями о нарушении законодательства в сфере защиты персональных данных сталкиваются компании, которые работают с клиентами-физлицами. Кроме того, любая компания обязана охранять сведения о своих сотрудниках. Юристу-судебнику может потребоваться отстаивать интересы организации в рамках такого административного спора. Рассмотрим, какую ответственность несут за незаконную передачу данных и каких позиций придерживаются суды.

Какие правила о передаче персональных данных третьим лицам нужно знать операторам

Помимо Конституции РФ, главным документом в сфере защиты персональных данных является Федеральный закон от 27.07.2006 № 152-ФЗ. Еще один важный документ — Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера». Именно в законе № 152 содержится определение термина «персональные данные». Так называют информацию, по которой можно идентифицировать конкретного человека (ст. 3 закона № 152). Перечень таких данных открытый.

Каждый день появляется все больше ресурсов (в том числе в сети «Интернет»), позволяющих соотнести пользователя таких ресурсов с конкретным человеком. Как следствие, растет и количество операторов персональных данных, которые работают с этой информацией, в том числе осуществляют передачу ее третьим лицам. Передача персональных данных третьим лицам — это вид обработки, в результате которой к информации получает доступ третья сторона.

Одни операторы получают сведения законно, от самих субъектов данных. Другие могут получить информацию с нарушением закона.

Предоставление паспортных и других личных данных третьим лицам не допускают без согласия субъекта

В России запрещена передача персональных данных третьим лицам без согласия субъектов данных, о чем прямо сказано в статье 7 закона № 152. В этой же статье содержится условие, соблюдение которого позволяет передавать такие данные. Этим условием является согласие субъекта.

Согласие на обработку данных должно быть дано в определенной законом форме (ст. 6 закона № 152). Согласие получают путем заключения договора между субъектом и оператором данных. На практике договор чаще всего заключается путем присоединения. Субъект совершает действие, явно свидетельствующее о его намерении заключать договор. Таким действием, например, может быть проставление галочки в соответствующей графе.

Незаконной считают передачу сведений третьим лицам, если субъект персональных данных прямо не указал на такой способ обработки

Передача информации о человеке является законной, если он дал согласие в установленной законом форме. Важно, чтобы разрешение распространялось на все необходимые оператору виды обработки, в том числе на передачу.

Если согласие было получено, но в договоре отсутствует такой вид обработки как «передача третьим лицам», то оператор не вправе передавать персональные данные субъекта. Также оператор не вправе передавать данные, если:

  • субъект отозвал ранее данное согласие;
  • истек срок хранения данных, который стороны указали в договоре.

Какую ответственность несет компания за незаконную передачу данных

Контролирующим органом в сфере защиты персональных данных является Роскомнадзор. Данный орган может провести проверку оператора: например, на предмет исполнения ранее выданного предписания. Проверка может быть как плановой, так и внеплановой. Если оператор осуществляет передачу третьим лицам личных данных субъекта без его разрешения, согласно соответствующим статьям виновное лицо можно привлечь:

  • к гражданской ответственности,
  • к дисциплинарной,
  • к административной,
  • к уголовной.

К гражданской ответственности за передачу личной информации третьим лицам привлекают по нормам главы 8 ГК РФ

Статьи 150-152.2 ГК РФ предусматривает гражданскую ответственность за нарушение законодательства о персональных данных. Гражданин, чьи права нарушили, подает иск. Если суд примет его доводы, ответчика обяжут компенсировать моральный вред и устранить нарушение. Более того, истец может потребовать опубликования судебного акта в открытых источниках.

Чем грозит сотруднику компании передача чужих паспортных данных третьим лицам

Статьи 192 и 81 ТК РФ позволяют применить дисциплинарные меры к ответственным за обработку персональных данных. В зависимости от обстоятельств за допущенное нарушение компания вправе даже уволить с работы. Более того, работник будет вынужден возместить ущерб, который нанес разглашением охраняемой законом тайны. Впрочем, работодатель может ограничиться и простым замечанием.

По закону о персональных данных компании несут административную ответственность за передачу сведений третьим лицам

Если Роскомназдор выявил незаконную передачу персональных данных третьим лицам, к компании-нарушителю применят административные санкции. В 2019 году административный штраф колеблется в пределах от 15 000 до 75 000 руб. за одно нарушение (ст. 13.11 КоАП РФ).

Когда применяют уголовную ответственность

Уголовная ответственность грозит нарушителю, который незаконно передал сведения о частной жизни субъекта, составляющие его личную или семейную тайну. Данный вид ответственности установлен статьей 137 УК РФ и предусматривает от штрафа в размере до 200 000 руб. до лишения свободы на срок до 5 лет.

Каких позиций придерживаются суды

Например, 26 ноября 2018 года Колпинский районный суд Санкт-Петербурга в своем решении по делу № 2-2109/2018 отказал истцу в удовлетворении требований об обязании не разглашать персональные данные третьим лицам, прекратить обработку и передачу персональных данных, взыскании компенсации морального вреда. Суд установил, что истец дал согласие на такую обработку.

Если согласия нет, суд поддержит истца.

Так, Осинниковский городской суд Кемеровской области в своем решении от 8 июня 2018 года по делу № 2-427/2018, оставленному Кемеровский областным судом без изменений, удовлетворил требования истца. Суд принял такое решение ввиду того обстоятельства, что ответчик не доказал наличия согласия от субъекта персональных данных на их обработку, в том числе, передачу третьим лицам.

Таким образом, правильно оформленное согласие субъекта позволит доказать оператору свою правоту и избежать ответственности.

Ответственность за разглашение персональных данных

Федеральным законом № 152 от 27.07.2007 года регулируется вопрос доступа к личной информации, сохранения тайны или ее обнародования путем предоставления сведений одному лицу или группе лиц. Разглашение персональных данных в зависимости от того, при каких обстоятельствах был допущен такой факт, какие это повлекло за собой последствия, может рассматриваться Гражданским кодексом, КоАП РФ или Уголовным кодексом. При определении возможности привлечения к ответственности в первую очередь обращают внимание на то, кем было допущено разглашение – является ли виновный должностным лицом или сотрудником организации, в которую поступают определенные личные данные граждан, защищенные от обнародования законом.

Читайте так же:  Справка об отсутствии административных правонарушений госуслуги

Что относится к личной (персональной) информации

Одним из важных моментов, который принимается во внимание при определении состава преступления и несения ответственности – это то, что относится к персональным данным. Как правило, они представляют собой следующую информацию:

  • Данные паспорта (серия, номер, кем выдан);
  • Сведения о трудовой деятельности – место работы, обязанности, уровень заработной платы;
  • Данные о полученном образовании;
  • Информация относительно прохождения лицом военной службы;
  • Отдельные факты биографии, медицинские диагнозы;
  • Личная переписка граждан или должностных лиц;
  • Сведения относительно адреса проживания, номера контактного телефона.

Возможность предоставления такой информации третьим лицам возможна только при условии согласия ее носителя (лица или представителя организации). В отдельных случаях сотрудники правоохранительных органов, налоговой инспекции имеют право запрашивать на основании имеющихся у них полномочий подобные данные.

Признаки преступного деяния и состав преступления

Признаками преступного деяния в случае разглашения информации будут следующие факторы:

  • Незаконность сбора информации и ее хранения;
  • Отсутствие согласия носителя данных на ее сбор и предоставление;
  • Непричастность лиц, которым была предоставлена информация, к правоохранительным органам, имеющим право доступа к подобным данным.

Относительно несения ответственности виновность субъекта может доказываться при разглашении информации одному лицу, публикации ее в средствах массовой информации, на публичных выступлениях и т.д.

Случаи судебной практики на данный момент имеют достаточно много прецедентов, при которых должностные лица (работники финансовых организаций, медицинских учреждений и т.д.) привлекались к уголовной ответственности за раскрытие информации относительно поставленного диагноза, наличия вкладов, сведений о движении денежных средств, сумме дохода и т.д.

Административная ответственность

Ответственность лиц, которые допустили или сами участвовали в разглашении информации, относящейся к личным данным, может рассматриваться как административным кодексом, так и уголовным.

Административная ответственность определяет моменты, касающиеся разглашения данных относительно личности, которые не подлежат огласке. Сюда могут относиться данные паспорта, личные идентификационные данные, сведения о состоянии здоровья. При отсутствии особых последствий, к которым привело распространение или утечка информации, уголовная ответственность не предусмотрена – подобные ситуации рассматривает Административный кодекс – статья 13.11.

Данная статья «Нарушение законодательства РФ в области персональных данных» состоит из 7 частей, каждая из которых определяет различную степень вины и, как следствие, разную степень несения ответственности при признании лица виновным. Так, возможно применение следующих видов наказания:

  • Ч1. Относится к противоправным действиям, заключающимся в запросе и обработке персональных данных без наличия такой необходимости и против воли держателя такой информации. Карается вынесением предупреждения и наложением штрафа для граждан до 3 тысяч рублей, должностных лиц до 10 тыс. рублей, юридических до 50 тыс. рублей;
  • Ч2. Предусматривает сбор и обработку персональных данных без наличия законных оснований на это. В качестве наказания применяется штраф до 5 тыс. рублей для граждан и до 70 тыс. рублей для организации;
  • Ч3. Относится к невыполнению лицом, которое занято на обработке данных, установленных правил по опубликованию информации и обеспечению доступа к ней или ограничению. Физ. лица в такой ситуации уплачивают штраф в размере от 700 до 1700 рублей, должностные лица наказываются штрафом от 3 до 6 тыс. рублей, организации – от 15 до 30 тыс.;
  • Ч4. Описывает действия оператора по отношению к его обязанностям предоставления данных персонального характера или сведений субъектам для их обработки. Физ. лица могут выплачивать штраф от 1 до 2 тыс. рублей, должностные от 4 до 6 тыс. рублей, юр. лица – от 20 до 40 тыс. рублей;
  • Ч5. Относится к тем противоправным действиям, которые касаются нарушения сроков обработки сведений, их хранения и норм уничтожения. Наказанием является оплата штрафа размером до 2 тыс. рублей с физических лиц, для должностных до 6 тыс. рублей, для организаций до 40 тыс. рублей;
  • Ч6. Относится к тем нарушениям, которые приводят к распространению личных данных. Причем такое действие может носить как умышленный характер, так и произойти по причине ошибки кого-либо из сотрудников организации, в которой такие данные хранились. Наказанием может служить штраф до 2 тыс. рублей для граждан, до 10 тыс. рублей для должностных лиц и до 50 тыс. рублей для юридических;
  • Ч7. Рассматривает нарушение норм законодательства в форме предоставления, обработки и хранения информации, что были допущены специалистами и сотрудниками муниципалитета или государственных органов власти. Наказанием служит необходимость выплаты штрафа в размере до 6 тысяч рублей.

Уголовная ответственность

Видео (кликните для воспроизведения).

Возможность привлечения к уголовной ответственности наступает в случае, если преступное деяние определяется как разглашение личных данных человека. При этом такое событие повлекло за собой создание угрозы жизни, безопасности или же в результате утечки данные стали доступны для общего сведения. При этом сами данные охранялись соответствующими законами РФ. Информацию относительно степени вины и меры наказания определяет статья 137 Уголовного кодекса РФ, состоящая из трех частей:

Итак, разглашение персональных данных о лице, которые могут включать в себя различную информацию от реквизитов документа до событий личной жизни и медицинских диагнозов, рассматриваются административным и уголовным кодексом РФ. В зависимости от степени вины и тех последствий, которое повлекло за собой разглашение данных, в качестве меры наказания могут использоваться штрафы различной величины, исправительные и другие работы или лишение свободы.

Источники


  1. Кодекс профессиональной этики адвоката; Проспект — М., 2016. — 179 c.

  2. Баранов, Д. П. Адвокатское право. Адвокатская деятельность и адвокатура в России / Д.П. Баранов, М.Б. Смоленский. — М.: Дашков и Ко, 2014. — 368 c.

  3. Гамзатов, М.Г. Английские юридические пословицы, поговорки, фразеологизмы и их русские соответствия / М.Г. Гамзатов. — М.: СПб: Филологический факультет СПбГУ, 2013. — 142 c.
  4. Гриненко А. В., Костанов Ю. А., Невский С. А., Подшибякин А. С. Адвокатура в Российской Федерации. Учебник; ТК Велби, Проспект — М., 2016. — 208 c.
  5. Липинский, Д. А. Общая теория юридической ответственности / Д.А. Липинский, Р.Л. Хачатуров. — М.: Юридический центр Пресс, 2017. — 950 c.
Ответственность за предоставление персональных данных третьим лицам
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here