Защита персональных данных. Административная и уголовная ответственность

Согласно ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Основные положения

Ранее ст. 85 ТК РФ гласила, что персональные данные работника — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника — это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Данная статья ТК РФ утратила силу (Федеральный закон от 7.05.13 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»).

В настоящее время ст. 86 ТК РФ регламентирует, что в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами; все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами; работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами; при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения; защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами; работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (постановление ФАС Московского округа от 27.11.06 г. по делу № КА-А40/11424–06); работники не должны отказываться от своих прав на сохранение и защиту тайны; работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Контроль и надзор за обработкой персональных данных

Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.

Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним.

Право доступа к персональным данным работника имеют:

руководитель организации, работо­да­тель — индивидуальный пред­при­ни­ма­тель; непосредственный руководитель работ­ника; начальник отдела кадров; сотрудники отдела кадров.

При работе с документами, содержащими персональные данные, работниками, прежде всего отдела кадров, должен соблюдаться принцип конфиденциальности персональных данных.

Можно рекомендовать для отдела кадров все документы, содержащие персональные данные работников, прежде всего это личные дела, картотеки, учетные журналы хранить в рабочее и нерабочее время в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников хранить в сейфе отдельно от личных дел. В конце рабочего дня все личные дела должны сдаваться в отдел кадров.

Контроль и надзор за обработкой персональных данных осуществляется в соответствии со ст. 23 Федерального закона от 27.07.06 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Таким органом является сегодня Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (постановление Правительства РФ от 16.03.09 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

При этом в отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Обратите внимание на положения приказа Минкомсвязи России от 14.11.11 г. (ред. от 24.11.14 г.) № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

Административная ответственность

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, в силу ст. 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Не лишним будет сказать, что законодательство ряда стран расширяет перечень гарантий защиты персональных данных работника, например путем создания специализированных государственных органов, призванных контролировать сбор, обработку персональных данных (Национальная комиссия по информации и свободам во Франции, уполномоченный по защите персональных данных в Великобритании). Аналогичные структуры существуют в большинстве европейских стран.

Статья 24 Закона о персональных данных устанавливает, что лица, виновные в нарушении требований этого нормативного правового документа, несут предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных данным Законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Так, например, ст. 13.11 КоАП РФ носит название «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и регламентирует ответственность специальных субъектов.

В соответствии с ней нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Особое внимание, естественно, должно быть обращено на то обстоятельство, что субъектом административной ответственности является не только определенное физическое лицо, допустившее нарушение, но и организация в целом.

Уголовная ответственность

Статья 137 Уголовного кодекса Российской Федерации (далее — УК РФ) закрепляет наступление уголовной ответственности за нарушение неприкосновенности частной жизни.

Часть 1 указанной статьи УК РФ определяет меру наказания за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Санкция указанной части 1 ст. 137 УК РФ следующая: штраф в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательные работы на срок до трехсот шестидесяти часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Санкция, естественно, альтернативная, выбор наказания поставлен в зависимость от характера преступления, предварительного и последующего поведения виновного, его личности и многого другого.

Часть 2 ст. 137 УК РФ содержит квалифицированный состав этого преступления — использование служебного положения. Следует не забывать о том, что наказание при таких условиях соответственно выше.

Санкция части 2 ст. 137 УК РФ альтернативно предусматривает:

штраф в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет; лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет; принудительные работы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового; арест на срок до шести месяцев; лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Часть 3 ст. 137 УК РФ определяет меру наказания за незаконное распространение в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях информации, указывающей на личность несовершеннолетнего потерпевшего, не достигшего шестнадцатилетнего возраста, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий, повлекшее причинение вреда здоровью несовершеннолетнего, или психическое расстройство несовершеннолетнего, или иные тяжкие последствия.

Санкция указанной части 3 следую­щая:

штраф в размере от 150 тыс. до 350 тыс. рублей или в размере заработной платы или иного дохода осужденного за период от восемнадцати месяцев до трех лет; лишение права занимать определенные должности или заниматься определенной деятельностью на срок от трех до пяти лет; принудительные работы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет или без такового; арест на срок до шести месяцев; лишение свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.

Основополагающим доказательст­вом для привлечения судом виновного в распространении указанных сведений к уголовной ответственности является умысел, и соответственно следствием такого распространения будет являться доказанное нарушение прав и свобод граждан.

Привлечь к ответственности за нарушения защиты персональных данных работника можно и посредством главы 30 «Дисциплина труда» ТК РФ. Наиболее распространенные случаи применения дисциплинарной ответственности в данной сфере — это случаи нарушения норм об обработке и защите персональных данных работника другим работником, но не работодателем, а также ст. 150 и 151 части 1 ГК РФ.