Основания и ответственность за нарушение закона о персональных данных

Защита конфиденциальности информации является обязанностью государства. Именно поэтому принимаются правовые нормы в сфере неразглашения третьим лицам личной информации. Наказание в данной ситуации может быть в виде штрафов и иного рода лишений. Разберёмся подробнее с этим вопросом.Основания и ответственность за нарушение закона о персональных данных

Что такое персональные данные и конфиденциальность

Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.

Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.

Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.

Какие персональные данные нельзя разглашать

  1. Фамилия.
  2. Дата рождения.
  3. Отчество.
  4. Имя.
  5. Семейное положение.
  6. Имущественное положение.
  7. Паспортные данные.
  8. Доходы.
  9. Статус работника или безработного и др.

Именно эти сведения разглашению не подлежат. Единственным исключением, когда данные могут использоваться и обрабатываться, является согласие самого их правообладателя. Как правило, такое согласие оформляется в форме письменного документа, в котором излагается запрос от организации на право обрабатывать подобного рода информацию.

За разглашение персональных данных сторонним лицам предусмотрена ответственность в рамках российского законодательства.

Установит, какие сведения можно отнести к персональным и получить ответы на другие важнейшие вопросы в этой сфере можно обратившись к ФЗ «О защите персональных данных». Более конкретно об этом мы пишем ниже.

Субъективные признаки разглашения

Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.

Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор.

Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом.

Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.

Специфическими персональными сведениями являются тайны. Сюда относится, например, тайна усыновления. Такие личные данные гражданина распространению не подлежат.

В том случае, если такая информация кому-либо стала известна без согласия усыновителя, правонарушители могут быть привлечены к ответственности по уголовной статье.

Куда жаловаться на нарушение закона о персональных данных

Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.

Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.

Какую закон регламентирует ответственность за распространение персональных данных

Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

  • административная;
  • уголовная.

Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.

Административная ответственность за обработку персональных данных без согласия, штрафы

Это правонарушение влечет за собой административную ответственность. Это статья 13.11 КОАП РФ. В зависимости от того, кто именно является нарушителем, предусмотрен и различный размер штрафных санкций.

Если закон нарушил гражданин, то он обязан уплатить штраф в казну государства в размере до трех тысяч рублей.
Если это юридические лица – до пятидесяти тысяч рублей.В случае, если нарушение закона исходило от должностного лица, то возникает обязательство уплаты штрафа в размере до десяти тысяч рублей.

Юридическим же лицам за нарушение закона о неразглашении придется уплатить до семидесяти пяти тысяч рублей.

  • Конкретного термина «распространение» в кодексе об административных правонарушениях нет, однако есть термины и понятия, косвенно затрагивающие незаконное распространение.
  • Непосредственное распространение личной информации раскрывается в рамках уголовного законодательства, о чем будет сказано ниже.

Уголовная ответственность за нарушение закона о персональных данных

Одной из основных статей, осуществляющих защиту персональных данных, является статья 137 УК РФ.
Она предусматривает ответственность (наказание) за нарушение неприкосновенности частной (личной) жизни, куда и входит незаконное собирание и распространение частных сведений.

Здесь может применяться ответственность в виде штрафа в размере до 200 тысяч рублей, а также иные меры ответственности, в том числе и исправительные, принудительные работы, арест или лишение свободы.

Она регулирует правоотношения в сфере отказа в предоставлении уже собранных частных данных лица, когда такое предоставление обязательно в соответствие с законодательством.

Здесь субъектом ответственности является должностное лицо. На него может быть возложен штраф в размере до двухсот тысяч рублей.

Таким образом, нельзя собирать и обрабатывать персональные данные гражданина без его согласия. Получение и передача таких сведений должна происходить в рамках законодательства РФ о защите персональных данных. Для правонарушителей незаконные действия грозят как административной, так и уголовной ответственностью.

Источник: https://rusfz.ru/razglashenie-personalnyh-dannyh-zakon-i-otvetstvennost-zapret-na-rasprostranenie-i-sbor-bez-soglasiya

Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными

Основания и ответственность за нарушение закона о персональных данных

Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными 11 сентября 2014

Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей. Однако для контролирующих органов размер компании и количество работников значения не имеют. Причем, в случае выявления нарушений реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. А им зачастую является бухгалтер. Давайте попробуем разобраться, насколько серьезны штрафы и что должны делать бухгалтеры или кадровики, чтобы их избежать.

На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки. Согласно статье 13.11 КоАП РФ штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее должностного лица.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

Ответственность организации

Кроме того, если в компании не утверждено Положение о персональных данных, то возможно наступление административной ответственности за нарушение трудового законодательства по статье 5.27 КоАП РФ.

Штраф может составить от 30 до 50 тыс. рублей. Также возможно административное приостановление деятельности на срок до девяноста суток.

Кстати, с 2015 года штраф за повторное нарушение, предусмотренное данной статьей, составит уже от 50 до 70 тыс. рублей.

Соблюдение законодательства о персональных данных контролирует Роскомнадзор.

За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей (статья 19.5 КоАП РФ).

Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей (статья 19.7 КоАП РФ).

Ответственность работника

Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен (статья 90 ТК РФ):

  • к административной ответственности
  • к дисциплинарной и материальной ответственности;
  • к гражданско-правовой ответственности;
  • к уголовной ответственности.

Административная ответственность

Персональные данные относятся к информации, доступ к которой ограничен. Поэтому за разглашение персональных данных ответственный работник может быть оштрафован на сумму от 4 до 5 тыс. рублей (статья 13.14 КоАП РФ «Разглашение информации с ограниченным доступом»).

Должностных лиц также можно привлечь к ответственности и за отсутствие утвержденного Положения о персональных данных. В этом случае штраф за нарушение трудового законодательства составит от 1 до 5 тыс. рублей. За повторное нарушение с 2015 года штраф составит от 10  до 20  тыс. рублей или дисквалификация на срок от одного года до трех лет (статья 5.27 КоАП РФ).

Дисциплинарная ответственность

Трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей. В том числе и по причине разглашения персональных данных другого работника (подпункт  «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя. Если вред был причинен по вине лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб.

Гражданско-правовая ответственность

Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии гражданским законодательством (статья 151 ГК РФ).

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности на основании статьи 137 УК РФ.

Проверки

Как уже говорилось выше, ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор).

Читайте также:  Расписка в получении денег за автомобиль: образец и правильное его оформление, юридический статус документа

Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ).

Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Официальная информация

В 2013 году в рамках осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства в области персональных данных проведено 2 418 проверок (еще в 2011 году таких проверок было значительно меньше — 1 743 проверки).

Из них 1 801 плановая и 617 внеплановых проверок. В 2013 году рост количества плановых проверок был связан, прежде всего, с увеличением количества операторов, отказывавшихся выполнять требования Федерального закона  от 27.07.

06 № 152-ФЗ «О персональных данных» ввиду неосуществления, по их мнению, деятельности по обработке персональных данных.

Положение о персональных данных

Теперь попробуем выяснить, что же требуется сделать, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов.

Вопросы обработки персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Соблюдать требования этого закона должны все организации и ИП, у которых есть хотя бы один работник.

Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от физических лиц, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Главным документом, который должен иметь любой работодатель, является положение о персональных данных. Принять этот локальный акт, регулирующий порядок хранения и использования персональных данных работодателя обязывает статья 87 Трудового кодекса.

В положении обычно прописывают все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (см. образец «Согласие на обработку персональных данных»). А значит, не лишним будет сразу разработать и утвердить форму такого заявления.

На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.   Далее может следовать раздел «Доступ к персональным данным».

В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций). При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.

Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т п.   Продолжит Положение раздел «Порядок обработки и передачи данных».

Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным  органам или лицам. В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.

Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.   А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.

Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость  Уголовного кодекса (ст. 137 УК РФ).

Положение о персональных данных можно разработать, взяв за основу разработанный нашим юристом образец «Положение о работе с персональными данными».

Однако кроме положения контролирующие органы в ходе проверок интересуются и другими документами. Назовем некоторые из них.

Приказ руководителя о назначении ответственного

Руководитель должен издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (см.

образец «О назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное лицо)»), так и подразделение (см.

образец «Приказ о назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное подразделение)»). В последнем случае личную ответственность несет руководитель такого подразделения.

Перечень персональных данных

Также потребуется утвердить документ, содержащий перечень персональных данных (см. образец «Приказ об утверждении перечня персональных данных»), которые реально используются в деятельности организации.

Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Журнал учета персональных данных

Работодатели обязаны соблюдать режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ).

В подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации.

Внешняя и внутренняя защита персональных данных

Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).

Возможное решение

Очевидно, что решение вопросов, касающихся персональных данных, может отнимать у бухгалтера очень много времени: требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать и заполнить их.

Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется бухгалтеру, чтобы организовать работу с персональными данными в соответствии с требованиями закона.

Сэкономить время и сосредоточиться на своей основной работе можно с помощью веб-сервиса «Персональные данные». Он автоматически формирует все необходимые приказы, акты, уведомления и положения, необходимые для работы с персональными данными.

Вопросы, возникающие в ходе совершения действий, бухгалтер прямо со страницы сервиса может задать эксперту и получить оперативный ответ. Когда все действия завершены, остается только распечатать подготовленные сервисом документы и подписать их.

Впоследствии сервис будет напоминать, что пора провести определённое мероприятие, закреплённое в комплекте документов, а также следить за изменениями законодательства и информировать о том, что надо сделать после вступления поправок в силу.

Год работы в сервисе с данными одной организации или ИП стоит 6 тысяч рублей. Однако часть необходимых документов бухгалтер может подготовить в «Персональных данных» бесплатно. Для этого достаточно пройти по ссылке, которую вы видите чуть ниже.

Источник: https://www.Buhonline.ru/pub/beginner/2014/9/9010

Персональные данные: что грозит за нарушение закона

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Читайте также:  Протокол изъятия вещей и документов: правовой порядок заполнения, форма и условия и процессуальные требования

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1624

Обработка персональных данных без согласия субъекта: последствия и ответственность

Обработка персональных данных без согласия субъекта запрещена. Нарушителя этого правила могут привлечь к ответственности — дисциплинарной, административной, гражданской и даже уголовной.

Однако есть исключения: в ряде случаев работать с персональными данными можно даже тогда, когда их субъект своего согласия не давал.

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных…» от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

  • 3–5 тыс. руб. — на граждан;
  • 10–20 тыс. руб. — на должностных лиц;
  • 15–75 тыс. руб. — на юридических лиц.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности.

Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку.

Источник: https://nalog-nalog.ru/personalnye_dannye/esli-ne-poluchit-soglasie-na-obrabotku-i-ispolzovanie-personalnyh-dannyh/

Ответственность за нарушение требований ФЗ «О персональных данных»

Тема защиты персональных данных в последнее время особенно актуальна. Виной тому новые нормы об административной ответственности за нарушение Федерального закона от 27.07.2006 № 152 (далее – ФЗ «О персональных данных»).

С 1 июля 2017 года вступили в силу поправки[1] в статью 13.

11 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ), которые вносят существенные изменения в положения, устанавливающие ответственность за нарушение законодательства в области персональных данных.

Данные поправки значительно увеличивают штрафы для операторов персональных данных. Для юридических лиц максимальный штраф теперь составляет 75 000 рублей, тогда как до принятия поправок в КоАП РФ максимальный штраф составлял всего 10 000 рублей.

  • И хотя размер штрафа все равно остается намного меньше европейского (максимальный штраф по Регламенту ЕС[2] составит до 20 млн евро или 4 % от годового оборота за финансовый год), авторы законопроекта надеются на сокращение правонарушений в области персональных данных.
  • Не стоит, однако, забывать, что ответственность за нарушение ФЗ «О персональных данных» не ограничивается административными штрафами, отдельные нормы Трудового, Гражданского и Уголовного кодексов РФ также предусматривают санкции для операторов-правонарушителей.
  • Административная ответственность: новые составы, новые штрафы

Административная ответственность за нарушение ФЗ «О персональных данных» предусмотрена, прежде всего, статьей 13.11 КоАП РФ, а также статьями 5.39 (отказ в предоставлении информации), 13.14 (разглашение информации с ограниченным доступом) и 19.7 КоАП РФ (непредоставление сведений).

Новая редакция статьи 13.11 КоАП РФ вводит семь новых составов административных правонарушений, заменяя существовавшую до этого весьма размытую формулировку. При этом состав административного правонарушения, предусмотренный седьмой частью статьи 13.11 КоАП РФ, относится лишь к государственным и муниципальным органам.

Отметим, что в изначальной версии законопроекта был предусмотрен еще один состав – обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости – со штрафом до 300 000 рублей. Однако в принятую редакцию статьи 13.11 КоАП РФ указанный состав не вошел.

Вводя семь новых составов в статью 13.11 КоАП РФ, законодатель лишь ужесточил ответственность за нарушение ФЗ «О персональных данных». Сами же требования, предъявляемые к обработке персональных данных, не изменились.

По части первой статьи 13.11 КоАП РФ гражданам, должностным и юридическим лицам будет вынесено предупреждение или штраф (для юридических лиц до 50 000 рублей) за обработку персональных данных в случаях, не предусмотренных законодательством, а также за обработку персональных данных, несовместимую с целями сбора персональных данных.

Читайте также:  Как правильно рекламировать товар: способы привлечения клиентов и эффективные инструменты

В частности, часть 2 статьи 10 ФЗ «О персональных данных» содержит перечень случаев, когда допустимо обрабатывать специальные категории персональных данных, т.е. данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Требования к целям обработки персональных данных указаны в части 2 статьи 5 ФЗ «О персональных данных».

Приведем простой пример. По общему правилу, на основании части 1 статьи 10 ФЗ «О персональных данных» работодатель не вправе собирать данные работника, касающиеся состояния здоровья последнего. В противном случае он может быть привлечен к ответственности по первой части статьи 13.11 КоАП РФ, так как обработка таких персональных данных не предусмотрена законодательством.

Исключение составляют, например, ситуации, когда деятельность работника непосредственно связана с движением транспортных средств (водители автобусов, пилоты самолетов и т.д.). В таком случае сбор данных о здоровье работника не будет нарушать законодательство.

Вторая часть статьи 13.11 КоАП РФ предусматривает ответственность в форме штрафа (для юридических лиц – до 75 000 рублей) за обработку персональных данных без согласия субъекта персональных данных, либо за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

Помимо отдельной статьи 9 ФЗ «О персональных данных», содержащей нормы о получении согласия субъекта на обработку его персональных данных, ряд иных статей ФЗ «О персональных данных», а также Трудового кодекса также определяют перечень случаев, когда требуется согласие субъекта.

В частности, пункт 3 статьи 86 Трудового кодекса обязывает работодателя получить письменное согласие субъекта на предоставление его персональных данных третьей стороной.

11 КоАП РФ оператору[3] будет вынесено предупреждение или штраф (для юридических лиц – до 30 000 рублей) за невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике оператора в отношении обработки персональных данных, а также при необеспечении доступа к сведениям о реализуемых требованиях к защите персональных данных. Речь идет о нарушении части 2 статьи 18.1 ФЗ «О персональных данных», содержащей требование к опубликованию оператором политики в отношении обработки персональных данных.

Нарушение оператором обязанности по предоставлению субъекту информации, касающейся обработки его персональных данных, влечет административную ответственность в виде предупреждения или штрафа (максимальный штраф для юридических лиц составляет 40 000 рублей) по части четвертой статьи 13.11 КоАП РФ.

Список сведений, которые оператор обязан предоставить субъекту касательно обработки его персональных данных (например, правовые основания и цели обработки, информация об операторе, источник получения персональных данных), а также перечень случаев, когда субъекту может быть отказано в получении таких сведений, содержатся в статье 14 ФЗ «О персональных данных». Так, субъекту может быть отказано в получении доступа к его персональным данным, например, если обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка, в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также если доступ субъекта к персональным данным нарушает права третьих лиц. Отказ в предоставлении информации должен быть мотивирован и составлен в письменной форме согласно статье 20 ФЗ «О персональных данных».

В соответствии с пятой частью статьи 13.

11 КоАП РФ оператор привлекается к административной ответственности в виде предупреждения или штрафа (для юридических лиц – до 45 000 рублей) за невыполнение требования субъекта, его представителя или уполномоченного органа об уточнении, блокировании или удалении персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Перечень случаев, когда оператор должен уточнить, блокировать или удалить персональные данные, а также сроки для выполнения указанных действий регулируются статьей 21 ФЗ «О персональных данных». В частности, если персональные данные обрабатываются неправомерно, оператор обязан прекратить неправомерную обработку в течение трех рабочих дней с даты выявления факта такой обработки. А вот в случае, если субъект отозвал свое согласие на обработку персональных данных, у оператора будет целых 30 дней с даты поступления отзыва на прекращение обработки персональных данных или их уничтожение.

Шестая часть статьи 13.11 КоАП РФ связана с нарушениями при обработке персональных данных без использования средств автоматизации, а именно с невыполнением оператором условий, обеспечивающих сохранность персональных данных при хранении материальных носителей.

Речь идет о нарушении пункта 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации[4].

Однако ответственность в виде штрафа (для юридических лиц до 50 000 рублей) предусмотрена только в том случае, если обработка персональных данных повлекла неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных. Таким образом, по данной части статьи 13.11 КоАП РФ к административной ответственности оператор будет привлечен только при условии наступления негативных последствий, что является несомненным плюсом текущей редакции по сравнению с ранее действовавшей.

11 КоАП РФ к ответственности в виде предупреждения или штрафа могут быть привлечены должностные лица государственных и муниципальных органов за невыполнение обязанности по обезличиванию персональных данных или несоблюдение установленных требований или методов по обезличиванию персональных данных. Требования и методы по обезличиванию персональных данных утверждены Приказом Роскомнадзора от 05.09.2013 № 996.

Таким образом, административная ответственность в соответствии со статьей 13.11 КоАП РФ за нарушение ФЗ «О персональных данных» теперь дифференцирована в зависимости от совершенного правонарушения и его тяжести.

Максимальный штраф для юридических лиц предусмотрен за обработку персональных данных без письменного согласия субъекта таких данных либо за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие субъекта на обработку его персональных данных.

  1. Уголовная ответственность
  2. Нарушение ФЗ «О персональных данных» может повлечь и уголовную ответственность, прежде всего, по статье 137 (нарушение неприкосновенности частной жизни), а также по статье 140 (отказ в предоставлении гражданину информации) и статье 272 (неправомерный доступ к компьютерной информации) Уголовного кодекса РФ (далее – УК РФ).
  3. Первая часть статьи 137 УК РФ предусматривает ответственность в виде штрафа, обязательных, исправительных или принудительных работ, ареста или лишения свободы за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
  4. Отметим, что дела по части первой статьи 137 УК РФ возбуждаются исключительно по заявлению потерпевшего или его законного представителя, что затрудняет привлечение к уголовной ответственности виновных лиц.
  5. Гражданско-правовая ответственность

Гражданско-правовая ответственность за нарушение ФЗ «О персональных данных» может возникать в соответствии со статьями 150–152.2 Гражданского кодекса РФ (далее – ГК РФ).

Согласно второй части статьи 24 ФЗ «О персональных данных» субъекту персональных данных возмещается также моральный вред, причиненный вследствие нарушения его прав, нарушения правил обработки персональных данных. Как указано в статье 151 ГК РФ, суд может возложить на нарушителя обязанность денежной компенсации морального вреда.

Кроме того, ГК РФ в части 2 статьи 150 предусматривает защиту нематериальных благ путем признания судом факта нарушения личного неимущественного права субъекта, опубликования решения суда о допущенном нарушении, а также путем пресечения или запрещения противоправных действий.

Часть 3 статьи 152.1 ГК РФ закрепляет право гражданина требовать удаления своего изображения в сети Интернет, а также пресечения или запрещения дальнейшего распространения такого изображения.

Дисциплинарная и материальная ответственность

Статья 90 Трудового кодекса РФ (далее – ТК РФ) позволяет привлекать лиц, виновных в нарушении законодательства в области персональных данных, к дисциплинарной и материальной ответственности.

Разглашение ответственным работником персональных данных других работников может повлечь дисциплинарную ответственность в виде замечания, выговора или увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ (разглашение охраняемой законом тайны). Порядок применения дисциплинарных взысканий установлен в статье 193 ТК РФ.

Кроме того, работник несет материальную ответственность в полном размере причиненного работодателю ущерба за разглашение сведений, составляющих охраняемую законом тайну в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.

Ущерб работодатель может понести, например, вследствие вынужденного возмещения им морального вреда субъекту персональных данных.

В таком случае работник, виновный в нарушении законодательства о персональных данных, должен компенсировать работодателю сумму возмещения морального вреда в соответствии со второй частью статьи 238 ТК РФ.

Законодательство в области персональных данных не стоит на месте. Очевидно, что возникающие угрозы утечки персональных данных заставляют законодателя ужесточать ответственность за нарушения в области персональных данных. Поможет ли увеличение штрафов в борьбе с нарушениями – покажет время.

Операторам следует уделить особое внимание соблюдению законодательства в области персональных данных, в том числе разработать и принять положение об обработке персональных данных (или проверить на соответствие законодательству уже принятое положение), назначить ответственного за обработку персональных данных, разработать форму согласия субъекта персональных данных на обработку персональных данных и закрепить ее в локальном нормативном акте (или проверить на соответствие законодательству уже разработанную форму), получать такое письменное согласие во всех случаях, предусмотренных действующим законодательством, а также соблюдать иные требования законодательства в области персональных данных. Проведение полного комплекса мероприятий поможет подготовиться к проверке Роскомнадзора и избежать административных штрафов, гражданско-правовой ответственности, а физическим лицам – уголовной, дисциплинарной и материальной ответственности.

Источник: https://www.vegaslex.ru/analytics/publications/responsibility_for_violation_of_requirements_of_the_federal_law_on_personal_data/

Ссылка на основную публикацию
Adblock
detector