Ответственность и наказание за незаконный сбор и разглашение персональных данных. Статья за слив и продажу личных данных.

   Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

    Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

   Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок. 

В перечень персональных данных включается следующее:

1. Сведения о дате и месте рождения
2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
3. Уровень образования
4. Трудоустройство и стаж
5. Наличие / отсутствие судимости
6. Кредитные данные
7. Информация о родственниках
8. Место жительства (регистрации) лица
9. Переписка в любой ее форме
10. Состояние здоровья
11. Образ жизни и иные биографические данные
12. И так далее.

   По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

   Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности.

Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина.

Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Что делать при незаконном разглашении персональных данных?

   Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

   В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности.

    Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика.

В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

   Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

   Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно.

Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга.

Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Каким образом возможно законное использование персональных данных?

   Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле.

Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности.

При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Последствия незаконного распространения персональных данных

   Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

   Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.

   Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.

   Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц.

Вид полученной переписки между гражданами не имеет значения.

При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Образец жалобы на незаконное использование персональных данных

• В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
• В Центральный банк Российской Федерации
• От П.
• Жалоба на использование персональных данных

   Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году.

2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей.

Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

1.    В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
2.    В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
3.    Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
4.    Звонки поступают со следующих номеров телефонов: …
5.    Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

   В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

   Ст.

26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.

Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

   За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

   Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

   Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское  бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

   На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

• провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных  третьим лицам;
• привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Дата, подпись

Автор статьи:

© адвокат, управляющий партнер АБ «Кацайлиди и партнеры»

А.В. Кацайлиди

Ответственность за нарушение закона о персональных данных

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности	Нарушение	Санкция	Норма
Административная	Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации	Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.	Статья 5.39 КоАП РФ
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных	Предупреждение или административный штраф: на граждан – от 1 тыс. до 3 тыс. руб.; на должностных лиц – от 5 тыс. до 10 тыс. руб.; на юридических лиц – от 30 тыс. до 50 тыс. руб.	Часть 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие	Административный штраф: на граждан – от 3 тыс. до 5 тыс. руб.; на должностных лиц – от 10 тыс. до 20 тыс. руб.; на юридических лиц – от 15 тыс. до 75 тыс. руб.	Часть 2 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных	Предупреждение или административный штраф: на граждан – от 700 до 1 тыс. руб.; на должностных лиц – от 3 тыс. до 6 тыс. руб.; на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.; на юридических лиц – от 15 тыс. до 30 тыс. руб.	Часть 3 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	Предупреждение или административный штраф: на граждан – от 1 тыс. до 2 тыс. руб.; на должностных лиц – от 4 тыс. до 6 тыс. руб.; на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.; на юридических лиц – от 20 тыс. до 40 тыс. руб.	Часть 4 ст. 13.11 КоАП РФ
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)	Предупреждение или административный штраф: на граждан – от 1 тыс. до 2 тыс. руб.; на должностных лиц – от 4 тыс. до 10 тыс. руб.; на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.; на юридических лиц – от 25 тыс. до 45 тыс. руб.	Часть 5 ст. 13.11 КоАП РФ
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них	Административный штраф: на граждан – от 700 до 2 тыс. руб.; на должностных лиц – от 4 тыс. до 10 тыс. руб.; на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.; на юридических лиц – от 25 тыс. до 50 тыс. руб.	Часть 6 ст. 13.11 КоАП РФ
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов	Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.	Часть 7 ст. 13.11 КоАП РФ
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде	Административный штраф: на граждан – от 100 до 300 руб.; на должностных лиц – от 300 до 500 руб.; на юридических лиц – от 3 тыс. до 5 тыс. руб.	Статья 19.7 КоАП РФ
Уголовная	Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ	Штраф до 200 тыс. руб., либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)	Статья 137 Уголовного кодекса
То же деяние, совершенное с использованием служебного положения	Штраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий	Штраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан	Штраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет	Статья 140 УК РФ
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование	Штраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок	Статья 272 УК РФ
Гражданско-правовая	Причинение лицу убытков в результате нарушения правил обработки его персональных данных. Под убытками при этом понимаются: расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права; утрата или повреждение его имущества; неполученные доходы, которые лицо получило бы, не будь его право нарушено.	Возмещение убытков	Статья 15 Гражданского кодекса
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных	Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)	Статья 24 закона о персональных данных, ст. 151 ГК РФ
Дисциплинарная	Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей	Увольнение	Подпункт «в» п. 6 ч. 1 ст. 81 Трудового кодекса
Иные нарушения в области персональных данных при их обработке	Замечание или выговор	Статья 90, ст. 192 ТК РФ

Разглашение персональных данных — ответственность по 137 УК РФ за распространение ПДн без согласия владельца

Использование в любой деятельности идентифицирующих гражданина сведений налагает на любое физическое лицо, госслужащего, компанию или индивидуального предпринимателя обязанность обеспечивать безопасность ПДн в течение всего периода обработки.

Это четко прописано в ФЗ-152, как и необходимость несения определенной ответственности за распространение личных данных без согласия владельца.

Наказания могут варьироваться, в том числе нарушителя могут обвинить по статье УК РФ, что влечет за собой серьезные последствия, начиная от внушительного штрафа, заканчивая лишением свободы, арестом, принудительными и обязательными работами в течение определенного периода, а также лишением права заниматься той или иной деятельностью либо занимать некоторые должности.

Чтобы не оказаться участником уголовного разбирательства в качестве обвиняемого, нужно знать, когда действует статья 137 УК о разглашении персональных данных. Не менее важно гражданам знать свои права и порядок действий, если они каким-либо способом обнаружили, что конфиденциальная информация была использована без предварительного согласия.

Разглашение и распространение персональных данных без согласия субъекта

Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта.

Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений.

Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных.

Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.

Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.

Какая может быть ответственность за разглашение персональных данных гражданина?

Основание для наложения каких-либо санкций в отношении операторов, передающих ПДн третьим лицам, закреплено конфиденциальным статусом личной информации, что прописано в Статье 7 ФЗ-152.

Еще одним документом, предписывающим сохранять информацию в тайне является Трудовой Кодекс, где присутствует отдельная статья про дисциплинарные проступки.

Нормативно-правовая база РФ предусматривает несение нарушителем трех видов ответственности за распространение персональных данных:

• уголовной;
• административной;
• дисциплинарной.

При обвинении в рамках ТК максимум, что грозит человеку, — это увольнение, хотя часто руководство ограничивается замечанием или взысканием.

Более серьезное наказание предусмотрено статьей 13 КоАП, которую недавно откорректировали, увеличив штрафы примерно в 10 раз. Примечательно, что за повторное нарушение полагается в 2-3 раза больший штраф, чем за первичное невыполнение нормативов ФЗ-152.

Значительные проблемы возникают у тех, чьи действия интерпретируют как нарушение положений Уголовного Кодекса.

Статья 137 УК РФ: наказание за разглашение персональных данных

Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д.

Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя.

Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.

Основные меры наказания прописаны в статьях 137 и 138 УК РФ:

• за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
• за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф 100-300 тысяч рублей либо в размере полученного за прошлые 1-2 года официального дохода;
• за разглашение сведений, касающихся субъектов младше 16 лет — 150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
• за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.

Действия субъекта в случае незаконного распространения ПДн

Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:

• обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
• подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
• обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.

Разобраться в том, по какой статье идентифицировать нарушение и правильно составить претензию на распространение личной информации без согласия владельца, помогут квалифицированные юристы.

Есть ряд требований к содержанию, оформлению и подаче жалоб, исковых и других заявлений.

Для наиболее эффективной защиты прав есть смысл пойти сразу несколькими путями, продумав обвинения таким образом, чтобы обращения в разные инстанции дополняли друг друга.

Ответственность за разглашение персональных данных в 2022 году

11 октября

27044

#CNT# data-template-html-inactive=В избранное #CNT#>

За нарушения в сфере персональных данных предусмотрена административная, уголовная, гражданская и дисциплинарная ответственность. В отдельных случаях можно лишиться не только денег, но и свободы. Рассмотрим, в каких случаях работодателя могут привлечь к ответственности за персональные данные.

Административная ответственность

За нарушения Закона о персональных данных №152-ФЗ работодатель может быть привлечен к ответственности по двум статьям КоАП РФ. Одна из них общая — за непредоставление информации; вторая — специальная, именно за невыполнение требований к защите личной информации граждан. Рассмотрим типичные ошибки, за которые компанию могут привлечь к административной ответственности.

Статья 13.11. Нарушение законодательства РФ в области персональных данных

По статье 13.11 КоАП РФ работодателя привлекут к административной ответственности если он избыточно собирает персданные или обрабатывает их без согласия владельца или не в соответствии с целями, не опубликовал политику по персданным и т. д.

Подробнее про типичные ошибки в работе с ПД и штраф за персональные данные в 2022 году смотрите в таблице. Примеры в таблице подготовлены по типичных нарушениям, которые выявляет Роскомнадзор при проверках.

К частым нарушениям по статье 13.11 КоАП РФ у работодателя относятся также следующие:

• не утвержден список лиц, которые имеют доступ к персональным данным;
• не проводится внутренний аудит работы с ПД;
• работники не ознакомлены под личную подпись с Законом №152-ФЗ, Политикой и локальными актами оператора в сфере персональных данных;
• не утвержден перечень мест хранения ПД.

За эти несоответствия оператора привлекут к ответственности за неправомерную обработку персональных данных. При этом штрафы за повторные нарушения в сфере ПД будут гораздо выше.

Статья 19.7. Непредставление сведений

Ответственность за нарушение в сфере персональных данных по этой статье 19.7 КоАП предусмотрена в трех случаях:

1. Оператор не уведомил Роскомнадзор о начале обработки персональных данных. Эта обязанность распространяется на всех, кто работает с личной информацией граждан: ИП, самозанятых, юридических лиц.

2. Оператор не направил информационное письмо в Роскомнадзор при изменении сведений, содержащихся в Реестре операторов ПД. Например, при изменении целей обработки персональных данных.

3. Оператор не представил информацию в течение 10 рабочих дней по запросу Роскомнадзора. Штраф для юридического лица составит от 3 000 до 5 000 рублей.

Такой вид наказания применяется, когда нарушения в сфере обращения с личной информацией гражданина причинили или могли причинить ему значительный вред. Например, очень осторожно следует обращаться с биометрическими данными несовершеннолетних и не публиковать без согласия родителей на сайтах компании или школы видеоролики с их участием.

Нарушение	Возможные наказания	Норма закона
Сбор или распространение данных, которые составляют личную или семейную тайну человека, без его согласия. Обнародование таких данных. Стоит понимать, что у понятий «личная тайна» и «семейная тайна» нет конкретных определений. Суды трактуют их довольно широко, а потому есть риск ответить перед законом за раскрытие практически любых личных сведений о другом человеке. В целом, личной тайной считается все, что человек, хотел бы скрыть: болезнь, религиозные убеждения, уровень обеспеченности и т.д. Например, одной компании пришлось отвечать перед судом за раскрытие перемещений автомобиля, а другой — за детализацию мобильных расходов клиента. Понятие семейной тайны немного конкретнее: это информация об отношениях с родственниками, социально-бытовых условиях жизни и т.д.	штраф обязательные, исправительные, принудительные работы лишение права вести профессиональную или другую деятельность арест, лишение свободы	137 статья УК РФ, ч. 1 С использованием служебного положения — 137 ст, ч 2
Незаконное обнародование информации о потерпевшем, которому нет 16 лет, если эта информация: касается уголовного дела. раскрывает его страдания, полученный вред и подобные последствия, связанные с преступлением. Городская газета опубликовала статью о девочке-подростке, указав её ФИО и номер школы. При этом ни девочка, ни ее родители согласия на обнародование таких личных данных газете не давали. РКН вынес редактору письменное предупреждение, однако она на него не отреагировала, и в газете появилось еще несколько статей с личной информацией героев, не достигших 16 лет. В результате суд постановил закрыть газету.	штраф лишение права вести профессиональную или другую деятельность принудительные работы арест, лишение свободы	137 статья УК РФ, ч. 3
Чиновник неправомерно отказался предоставить человеку документы, затрагивающие его права и свободы, либо предоставил ему неполную или заведомо ложную информацию — при условии, что эти действия нанесли вред правам и законным интересам граждан. Чиновник также будет наказан за: уклонение от выдачи документов (например, он заявит, что нужных человеку данных нет, хотя они есть); бездействие (например, проигнорирует письменный запрос).	штраф лишение права вести профессиональную или другую деятельность	140 статья УК РФ
Неправомерный доступ к компьютерной информации, которая охраняется законом, если это вызвало ее уничтожение, блокирование, изменение или копирование. Под неправомерным доступом здесь подразумевают любое взаимодействие с данными (включая просто ознакомление), на которое нет разрешения собственника или другого законного пользователя.	штраф исправительные, принудительные работы ограничение свободы лишение свободы	272 статья УК РФ, ч. 1 ущерб от 1 млн. руб — 272 статья, ч 2
Описанные в 1 и 2 частях статьи правонарушения, если они были совершены: группой лиц по предварительному сговору; организованной группой; с использованием служебного положения.	штраф ограничение свободы принудительные работы лишение свободы	272 статья УК РФ, ч. 3
Правонарушения, описанные в 1, 2 и 3 частях статьи, если они вызвали тяжкие последствия или угрозу их наступления (к таким случаям относят, например, смерть, существенный вред здоровью).	лишение свободы до 7 лет	272 статья УК РФ, ч. 4

Гражданско-правовая ответственность

Закон №152-ФЗ прямо устанавливает обязанность оператора возместить моральный вред гражданину при нарушении его прав.

Причем гражданская ответственность за распространение персональных данных или иные неправомерные действия, которые причинили вред субъекту ПД, применяется независимо от возмещения ущерба, а также привлечения к административной или уголовной ответственности.

Размер компенсации морального вреда определяет суд.

Нарушение	Что грозит	Норма закона
Оператор нарушил правила обработки личной информации, из-за чего человек понес материальные потери. Это могут быть: затраты на восстановление нарушенных прав потеря; порча имущества; упущенная выгода.	Полное возмещение убытков, если только меньший объем выплат не установлен законом или договором. Если виновник как-то нажился на чужой личной информации, ее владелец вправе потребовать в дополнение упущенную выгоду в размере не меньшем, чем полученные нарушителем доходы.	Статья 15 Гражданского кодекса
Оператор нарушил правила обработки личностных сведений, что повлекло для человека моральный вред. Мужчина обратился в суд: банк засыпал его смс и звонками с требованиями погасить задолженность по кредиту. Деньги он действительно брал, но уже давно выплатил. Однако до сотрудников банка это донести не удавалось. Суд запретил банку обрабатывать ПД истца и постановил выплатить ему 15 тыс. руб. моральной компенсации.	Компенсация морального вреда	Статья 24 Закона «О персональных данных»

Дисциплинарная ответственность

Нарушение	Что грозит	Норма закона
Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы. Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка.	Увольнение	Статья 81, пункт 6, подпункт «в» Трудового кодекса
Работник допустил какие-либо другие нарушения при работе с личной информацией. Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор.	Замечание или выговор	Статья 90 и статья 192 ТК РФ

Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:

• защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
• прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
• донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.

Всё равно остались вопросы? Или хочется больше разборов реальных ситуаций из практики? Делимся практическим опытом и даем новейшую информацию в авторском курсе о персональных данных. Вам не придется самостоятельно изучать законы и разбирать нагромождения юридических формулировок. Мы уже сделали это за вас и упаковали в простые и понятные принципы.

Ответственность за утечку персональных данных

Solar Dozor

Система предотвращения утечек информации (DLP). Блокирует передачу конфиденциальных документов, помогает выявлять признаки корпоративного мошенничества, позволяет заниматься профилактикой инцидентов безопасности.

Посмотреть продукт

Получить консультациюпо продукту Solar Dozor

Ответственность за утечку персональных данных строго карается российским законодательством. К виновным лицам применяются наказания в рамках трудового, административного, уголовного кодексов.

Виды ответственности за нарушение закона о ПДн

1. Дисциплинарная. Выносится руководителем компании, где произошел инцидент. Связана со случайными и незначительными информационными утечками без угрозы репутации компании и ее клиентам. Выражается в форме замечания, выговора, в редких случаях увольнения.

2. Гражданско–правовая. Наступает в тех случаях, когда отмечены ущерб и заметные последствия инцидента. На виновника налагается штраф и возмещение убытков, связанных с его действиями.

3. Административная. Наступает при рассмотрении дела в суде. По результатам судебного разбирательства выносится предупреждение или денежный штраф.

4. Уголовная. Наступает в следствии тяжких преступлений, как например, раскрытие государственной тайны, продажи личной или семейной тайны. Наказание выносится судом в форме крупных денежных штрафов, либо принудительных или обязательных работ, либо лишения свободы.

Дисциплинарная ответственность за утечку персональных данных

• Статьи 90, 192 ТК РФ. Наказание в форме выговора, замечания работнику за нарушение при работе с персональными сведениями. Например, за передачу вверенных данных третьим лицам
• Статья 81 ТК РФ. Увольнение работника за придание публичного статуса личной информации другого сотрудника или клиента. Например, получение информации менеджером банка о платёжеспособности клиента без официального запроса из банка

Гражданско-правовая ответственность за утечку персональных данных

• Статья 15 ГК РФ. Наказание в виде соразмерного возмещения убытков или меньшего объема при условии его установления законом или договором за использование персональных сведений в корыстных целях. Например, нарушение оператором правил обработки данных в ходе чего владелец понес финансовый ущерб (упущенная выгода, уничтоженное имущество).
• Статья 24 152-ФЗ от 27.07. 2006. Наказание в виде компенсации морального ущерба за нарушение оператором правил обработки данных в ходе чего владелец понес моральный ущерб. Например, спам-звонки и смс от банка с предложениями оформления кредита или его погашения в ситуациях, когда владелец персональной информации не является его клиентом или исполнил свои обязательства.

Административная ответственность за утечку персональных данных

• Статья 13.11 КоАП РФ (часть 1). Наказание в виде предупреждения или штрафа за обработку персональной информации в случаях, которые не предусматриваются законом. Например, использование номеров телефона клиентов компании для рассылки рекламных предложений без письменного согласия клиента
• Статья 13.11 КоАП РФ (часть 2). Наказание в виде штрафов в размере 3 000-75 000 рублей за проведение обработки персональных сведений человека без его письменного согласия. Например, создание собственной базы данных клиентов частной компании на основании врачебных карт пациента исключая его согласие
• Статья 13.11 КоАП РФ (часть 4). Штраф оператора информации на сумму 1 000-40 000 рублей за непредставление сведений владельцу касающихся порядка и целей обработки, предоставленных им сведений личного характера
• Статья 13.11 КоАП РФ (часть 6). Штраф оператора данных на сумму 700-50 000 рублей за утечку информации и попадание ее к третьим лицам.
• Статья 19.7 КоАП РФ. Наказание в виде предупреждения или штрафа оператору информации за отказ или неполное, или искажённое предоставление требуемых госорганом или чиновником сведений. Например, человек отправил жалобу в антимонопольную службу на регулярные рекламные рассылки и звонки на его номер со стороны компании с которой он не вступал в отношения. ФАС обратилась к оператору связи, чтобы выяснить, кому принадлежит номер, с которого, приходят рассылки, оператор отказался сообщить информацию о владельце номера и получил за это штраф.

Уголовная ответственность за утечку персональных данных

• Статья 137 УК РФ. Штраф до 200 000 рублей или удержание дохода гражданина за 18 месяцев, либо исправительные или принудительные работы периодом 1-3 года, либо тюремное заключение на 2 года за занятие сбором и распространением персональных сведений, затрагивающих личную или семенную тайны исключая разрешение владельца.
• Статья 272 УК РФ. Штраф до 200 000 рублей или удержание дохода гражданина за 18 месяцев, либо исправительные или принудительные работы периодом 1-2 года, либо тюремное заключение на 2 года за незаконное получение доступа к сведениям находящихся под защитой законодательства с последующим их уничтожением, блокировкой, модификацией.
• Статья 140 УК РФ. Штраф до 200 000 рублей и лишение права на ведение профессиональной деятельности чиновнику, который ответил отказом на предоставление информации обратившемуся к нему гражданина, связанную с его правами, свободами. Например, отказ чиновника в предоставлении информации путем игнорирования запросов или ссылкой на отсутствие сведений при их наличии.

Защита персональных данных и ответственность за нарушение порядка обработки и хранения информации вынуждают операторов строго придерживаться установленных нормативных актов в этой сфере.

Также большое значение для исполнения требований регуляторов имеет использование комплексной защиты информации и применение таких решений как DLP-системы.

Утечки данных следует предотвращать, а не бороться с их последствиями.