Организация защиты персональных данных работников
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Организация защиты персональных данных работников». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Четкое определение понятия персональных данных приведено в части первой статьи 3 Закона № 152 от 27.07.2006 года «О персональных данных». Это любая информация, прямо или косвенная относящаяся к физическому лицу.
Иными словами, персональными данными является абсолютно все – от имени человека до сведений, содержащихся в его трудовой книжке. Сюда же входят данные о доходах, семейном положении, адресе проживания и так далее.
Комментарий к ст. 90 ТК РФ
1. В комментируемой статье устанавливается правило, согласно которому лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, могут быть привлечены к установленной законом ответственности. Также предусматривается, что такие лица несут дисциплинарную, материальную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
2. Под лицами, названными в ст. 90, следует понимать прежде всего представителей и других ответственных работников работодателя, в обязанности которых входит обработка и защита персональных данных работника. Такие лица за ненадлежащее исполнение указанных обязанностей могут привлекаться к дисциплинарной и даже к уголовной ответственности. О дисциплинарной ответственности названных лиц см. ст. ст. 192, 193 и 195 ТК.
Статья 81 ТК устанавливает возможность увольнения работника в связи с разглашением им охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением трудовых обязанностей, в т.ч. в связи с разглашением персональных данных другого работника.
3. Гражданско-правовая ответственность предусмотрена ст. 1472 ГК РФ. В соответствии с указанной статьей нарушитель исключительного права на секрет производства, в т.ч. лицо, которое неправомерно получило сведения, составляющие секрет производства, и разгласило или использовало эти сведения, обязан возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом.
Статья 15 ГК РФ устанавливает, что лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере.
Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).
Если лицо, нарушившее право, получило вследствие этого доходы, лицо, право которого нарушено, вправе требовать возмещения наряду с другими убытками упущенной выгоды в размере не меньшем, чем такие доходы.
4. Уголовный кодекс РФ устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни (ст. 137), неправомерный отказ должностного лица в предоставлении гражданину документов и материалов, затрагивающих его права и свободы (ст. 140), неправомерный доступ к охраняемой законом компьютерной информации (ст. 272).
В зависимости от тяжести деяния эти статьи предусматривают возможность применения к виновным лицам различных наказаний вплоть до лишения свободы.
5. Что же касается административной и гражданско-правовой (материальной) ответственности, то к ней могут быть привлечены не только названные работники, но и сам работодатель — юридическое лицо. Например, ст. 13.11 КоАП РФ устанавливает, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц — от 500 до 1000 руб.; на юридических лиц — от 5000 до 10000 руб.
6. Работник, которому в результате ненадлежащего хранения и использования персональных данных причинен ущерб, вправе взыскать его с работодателя (ст. 234 ТК).
Независимо от возмещения имущественного ущерба такой работник может потребовать компенсации морального вреда, т.е. причиненных ему физических и нравственных страданий (ст. 237 ТК).
В свою очередь, работодатель, привлеченный к административной ответственности или возместивший работнику причиненный ему ущерб, вправе привлечь к материальной ответственности конкретных виновников нарушения правил хранения и использования персональных данных (см. гл. 39 ТК).
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Статья 137 УК РФ: наказание за разглашение персональных данных
Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д. Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя. Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.
Основные меры наказания прописаны в статьях 137 и 138 УК РФ:
- за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
- за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф
100-300 тысяч рублей либо в размере полученного за прошлые1-2 года официального дохода; - за разглашение сведений, касающихся субъектов младше 16 лет —
150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет; - за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.
Что значит обрабатывать персональные данные
Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:
- сбор;
- фиксация;
- систематизация;
- накопление;
- сбережение;
- защита;
- передача;
- использование.
Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:
- Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
- Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
- Выбирать способы обработки нужно в соответствии с заявленными целями.
- Все требования касаются только полных и достоверных персональных данных.
- Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.
Ответственность работодателя за незаконное разглашение персональных данных
Случаи, когда работодатель пренебрежительно относятся к нормам закона, предусматривающего обязанность сохранения в тайне персональных данных работника, отнюдь не редки. На вопрос о том, в каких случаях разглашение персональных данных является неправомерным, ответ однозначен – во всех, при которых не было получено согласие их носителя.
Чаще всего распространению подвергается информация о доходах сотрудников, что, безусловно, может иметь негативные последствия. Ответственность за совершение подобных действий варьируется от дисциплинарной до уголовной. Поэтому работник, которому стало известно о разглашении своих персональных данных работодателю, вправе обратиться за защитой в правоохранительные органы.
Однако эффективнее всего будет подача жалобы в региональное управление Роскомнадзора – органа, призванного осуществлять защиту прав физических лиц в сфере обработки их персональных данных. В случае, если доводы жалобы будут подтверждены, Роскомнадзор либо самостоятельно привлечет недобросовестного работодателя к административной ответственности по статье 13.14 КоАП России, либо передаст собранные материалы в прокуратуру для решения вопроса о возбуждении уголовного дела по ст. 137 УК РФ.
Доказать факт незаконного распространения личной информации непросто, но вполне возможно. Для этого необходимо заручиться показаниями свидетелей и очевидцев, а также, представить письменные или электронные подтверждения, если они имеют место быть. Идеальный вариант – поддержка со стороны лица, получившего незаконно разглашенные сведения.
Уголовная ответственность за разглашение персональных данных
Статья 137 Уголовного кодекса РФ посвящена нарушению персональных данных. Во-первых, состав преступления образуют действия как по незаконному сбору, так и по распространению сведений о частной жизни лица без его согласия. Это может быть семейная тайна, личная. А распространение — любые действия, в том числе в публичном выступлении, произведении или СМИ. Ответственность — штраф до 200 000 руб., либо обязательные работы (до 360 часов), принудительные работы (до 2 лет) с лишением права занимать определенные должности (до 3 лет), арест до 4 месяцев. Либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности (до 3 лет).
Если сведения стали нарушителю доступны в связи с определенной службой, то наказание ужесточается. Равно как и публичное распространение сведений о лице, не достигшем 16 лет. Но не просто персональных данных о несовершеннолетнем, но описание полученных им в связи с преступлением физических или нравственных страданий, а также данных, указывающих на его личность по уголовному делу.
Другой комментарий к ст. 90 ТК РФ
1. К материальной ответственности за нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных работника, могут быть привлечены как работодатель, так и работники, непосредственно обрабатывающие персональные данные работников.
В результате неправомерного виновного распространения персональных данных работника или виновного представления третьим лицам недостоверной информации о работнике последнему может быть причинен моральный вред, подлежащий возмещению со стороны работодателя. При внесении в трудовую книжку работника неправильной записи или не соответствующей законодательству формулировки причины увольнения работник может быть лишен возможности трудиться и понести материальный ущерб. В свою очередь работники, непосредственно обрабатывающие персональные данные, могут быть привлечены к материальной ответственности при проведении работодателем выплат в пользу работника в возмещение причиненного ему ущерба. О материальной ответственности работодателя перед работником см. гл. 38 ТК и комментарий к ней, о материальной ответственности работника перед работодателем — гл. 39 ТК и комментарий к ней.
2. О дисциплинарной ответственности см. гл. 30 ТК и комментарий к ней.
3. Лица, виновные в нарушении правил работы с персональными данными работника, могут быть привлечены к административной ответственности на основании ст. ст. 5.39, 13.11 — 13.14 КоАП.
4. К административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах и за нарушение правил защиты информации могут быть привлечены как сами работодатели — юридические лица и их должностные лица, так и конкретные работники, исполняющие соответствующие трудовые функции. Административная ответственность за разглашение информации с ограниченным доступом предусмотрена в отношении должностных лиц как работодателя, так и третьих лиц, и тех работников, которые получили доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, а за отказ в представлении гражданину информации — только в отношении должностных лиц.
5. Порядок защиты нематериальных благ, к числу которых относятся честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна, определяется ГК и иными законами (прежде всего ГПК).
Если в результате нарушения норм, регулирующих обработку персональных данных работника, допущенного третьими лицами, а не работодателем, работнику причинен имущественный ущерб или моральный вред, то указанный вред подлежит возмещению в денежной форме на основании ст. ст. 151, 1064 — 1083, 1099 — 1101 ГК. Защита чести, достоинства и деловой репутации гражданина осуществляется судом в соответствии с правилами, установленными ст. 152 ГК.
6. Уголовная ответственность за нарушение правил работы с персональными данными работника может наступить в случаях, предусмотренных ст. ст. 137, 140 УК.
Конституцией РФ установлено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. ст. 23, 24 Конституции РФ). В то же время при приеме на работу от соискателя часто требуют предоставления сведений личного характера. Но кто будет нести ответственность за сохранность этих данных?
Согласно ст. 85 Трудового кодекса РФ персональными данными работника признается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Принимая на работу нового сотрудника, работодатель должен сообщить ему о целях получения персональных данных, о характере подлежащих получению персональных данных работника, а также предупредить о последствиях отказа сотрудника дать письменное согласие на получение таких сведений. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, о частной жизни, а также данные о членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ). В соответствии со ст. 24 Конституции РФ в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Работодатель при принятии решений, затрагивающих интересы сотрудника, не имеет права основываться на его персональных данных, предоставленных исключительно в результате автоматизированной обработки или электронного получения. Руководитель обязан обеспечить защиту персональных данных сотрудника от неправомерного использования или утраты. Работников следует ознакомить под расписку с документами организации, которые устанавливают порядок обработки персональных данных, а также об их правах и обязанностях в этой области, при этом сотрудники не должны отказываться от прав на сохранение и защиту тайны. Работодателям, работникам или их представителям необходимо совместно вырабатывать меры защиты личных сведений, закрепив это требование в Положении о персональных данных работника.
Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации; в правоохранительных органах; страховых агентствах; туристических и гостиничных фирмах; в некоторых подразделениях муниципальных органов самоуправления и т.д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, то есть в отделе кадров.
Вид нарушения |
Предусмотренное |
Чем |
Нарушение порядка сбора, |
Штраф для должностных |
Статья 13.11 |
Нарушение законодательства |
Штраф для должностных |
Статья 5.27 |
Нарушение правил хранения |
Материальная |
Статья 238 ТК |
Ненадлежащее хранение и |
Возмещение морального |
Статья 234 ТК |
Разглашение служебной |
Материальная |
Пункт 7 |
Нарушение |
Уголовная |
Статья 137 УК |
Неправомерный доступ к |
Уголовная |
Статья 272 УК |
Компенсация за утечку сведений
На основании ст. 24 ФЗ № 152, в случае утечки различных персональных данных соответствующий моральный вред, причиненный конкретному лицу, подлежит обязательному возмещению в виде денежных выплат. В этом случае потерпевшему выплачивается компенсация морального вреда.
Важно! При установлении размера такой компенсации суд учитывает степень вины правонарушителя и иные существенные обстоятельства по делу. Также суд обращает внимание на состояние здоровья потерпевшего.
Разглашение (распространение) различных персональных данных является преступным деянием. За такое преступление предусмотрена различная гражданско-правовая, административная, дисциплинарная или уголовная ответственность. В подобной ситуации в случае получения материального или морального ущерба законодательством РФ предусмотрена выплата потерпевшему соответствующей компенсации морального вреда.
Чего следует опасаться гражданину
Утечка информации может привести к, мягко говоря, неприятным последствиям:
- огласка посторонним лицам частных (приватных) фактов из жизни человека, которые компрометируют личность, влияют на репутацию, прочее;
- угроза разглашения определенных обстоятельств заинтересованным в этом лицам, от которых гражданин скрывает информацию (шантаж);
- различные мошеннические действия, направленные на завладение имуществом, деньгами;
- незаконный доступ к банковским карточкам, счетам с целью хищения финансов;
- хулиганские действия, наиболее часто распространены в Интернет-среде, например, передача данных для рекламных рассылок;
- попытки переложить ответственность за неправомерные действия злоумышленником, путем создания видимости причастности к такой деятельности гражданина;
- получение на имя человека кредитов, займов;
- открытие на гражданина фирм-однодневок;
- ухудшение социального статуса, что может понизить авторитетность как потребителя, например, как потенциального заемщика.
Разглашение каких персональных данных уголовно наказуемо (судебная практика)
Практика судов общей юрисдикции показывает, что понятие личной тайны трактуется предельно широко, в связи с чем привлечение к ответственности по ст. 137 УК РФ возможно за разглашение практически любых ПД. Отношение тех или иных сведений к личной или семейной тайне устанавливается на основании показаний потерпевшего.
Например, были признаны составляющими личную тайну:
- Ф. И. О., адрес, паспортные данные, дата рождения, абонентский номер (постановление Стерлитамакского городского суда Республики Башкортостан от 19.04.2012 по делу № 1-249/12);
- детализация телефонных соединений (приговор Соликамского городского суда Пермского края от 16.11.2011 по делу № 1-511/11);
- сведения о перемещениях автомобиля (приговор мирового судьи СУ № 28 г. Самары от 25.02.2015 по делу № 1-6/2015).
Ответственность за разглашение персональных данных гражданина, виды и размеры наказаний
Лица, разгласившие ПД, могут быть подвергнуты только одному из наказаний, перечисленных в ст. 137 УК РФ, и только в указанных там пределах. Выбор конкретного вида и размера наказания осуществляется судом с учетом степени и характера опасности совершенного деяния, смягчающих и отягчающих обстоятельств, личности виновного и т. д. (ч. 3 ст. 60 УК РФ).
Для примера рассмотрим наказания, которые могут быть назначены за разглашение ПД с использованием служебного положения по ч. 2 ст. 137 УК РФ. Суд вправе назначить:
- Штраф. Может быть установлен как фиксированная сумма в пределах 100–300 тыс. руб., так и в размере зарплаты (или иного дохода) осужденного за период от 1 года до 2 лет.
- Запрет на занятие определенной деятельностью или занятие каких-либо должностей в течение 2–5 лет.
- Принудительные работы сроком до 4 лет. Они могут назначаться как самостоятельно, так и в сочетании с дополнительным наказанием, указанным в п. 2.
- Арест на срок до 6 месяцев (в настоящее время этот вид наказания не применяется).
- Лишение свободы сроком до 4 лет. Применяется только вместе одним из дополнительных наказаний, указанных в п. 2.
При этом срок дополнительного наказания в 3-м и 5-м случаях начинает течь только после отбытия основного (ч. 4 ст. 47 УК РФ).
Ответственность за разглашение персональных данных гражданина, виды и размеры наказаний
Лица, разгласившие ПД, могут быть подвергнуты только одному из наказаний, перечисленных в ст. 137 УК РФ, и только в указанных там пределах. Выбор конкретного вида и размера наказания осуществляется судом с учетом степени и характера опасности совершенного деяния, смягчающих и отягчающих обстоятельств, личности виновного и т. д. (ч. 3 ст. 60 УК РФ).
Для примера рассмотрим наказания, которые могут быть назначены за разглашение ПД с использованием служебного положения по ч. 2 ст. 137 УК РФ. Суд вправе назначить:
- Штраф. Может быть установлен как фиксированная сумма в пределах 100–300 тыс. руб., так и в размере зарплаты (или иного дохода) осужденного за период от 1 года до 2 лет.
- Запрет на занятие определенной деятельностью или занятие каких-либо должностей в течение 2–5 лет.
- Принудительные работы сроком до 4 лет. Они могут назначаться как самостоятельно, так и в сочетании с дополнительным наказанием, указанным в п. 2.
- Арест на срок до 6 месяцев (в настоящее время этот вид наказания не применяется).
- Лишение свободы сроком до 4 лет. Применяется только вместе одним из дополнительных наказаний, указанных в п. 2.
При этом срок дополнительного наказания в 3-м и 5-м случаях начинает течь только после отбытия основного (ч. 4 ст. 47 УК РФ).