2.3. Ответственность за нарушение норм, предусматривающих защиту персональных данных работника
Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение, передачу и защиту персональных данных работника, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством РФ.
Представление работником подложных документов является основанием для вынесения дисциплинарных взысканий вплоть до увольнения14.
Итак, ст. 24 Закона № 152-ФЗ предусматривает ответственность за нарушение требований к обработке персональных данных работников. Прежде всего это гражданско-правовая ответственность оператора в части возмещения морального вреда. Такой вред возмещается независимо от возмещения имущественного вреда и понесенных субъектом убытков.
Кроме гражданско-правовой ответственности организация несет административную ответственность в соответствии с Кодексом Российской Федерации об административных право- нарушениях от 30.12.2001 № 195-ФЗ.
Согласно ст. 3 Закона, персональные данные это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (в том числе номер телефона, электронный адрес и т.д.).
В каком случае право на защиту персональных данных нарушается15:
1) Если управляющая организация в доме вывесила список должников, указав фамилию, имя, отчество, адрес гражданина и сумму задолженности;
2) Если подобная информация выложена в сети Интернет без письменного разрешения;
3) Если незнакомые люди звонят человеку домой, называют по имени и предлагают услуги или товары (проводят социологический опрос, совершают спам-прозвон, спрашивают отношение к Навальному и т.д.) – при этом вы не указывали нигде свой адрес и телефон;
4) Если в газете опубликованы сведения гражданина в качестве примера результатов работы по переписи населения.
5) В любом другом случае, когда он ее не предоставлял.
Если опубликованы только фамилия, имя, отчество гражданина (и только они, то есть без какой-либо информации об этом гражданине) - это не нарушение.
Если телефон есть в телефонной книге, адрес- в справочнике с разрешения гражданина - это не нарушение.
Разрешение на использование персональных данных может быть дано гражданином только письменно. Можно отозвать такое разрешение в любой момент. После этого сбор и использование персональных данных (а также опубликование их в справочниках) запрещены.
Пример: работодатель требует подписать разрешение на обработку персональных данных. Вероятно, работник такое разрешение подпишет, чтобы избежать проблем с кадровой службой. Однако в любой момент можно отозвать свое разрешение. Лучше всего сделать это заказным письмом с описью и уведомлением о вручении). Иногда в ответ на вопрос «откуда вам известны мои персональные данные?» - получают ответ типа: «наверное, вы где - то их указывали…»
Необходимо помнить: Если где-то заполняли анкету, но не написали, что РАЗРЕШАЕТСЯ обработка персональных данных – значит, такого разрешения нет. Поэтому, заполняя любые анкеты, следует проверить - не указано ли где-то мелкими буквами, что вы разрешаете сбор и обработку ваших персональных данных.
Многие работодатели требуют от соискателей заполнения анкет с данными о родственниках. Следует иметь в виду, что предоставляя такие данные без письменного согласия своих родственников, гражданин нарушает закон.
В 2013 году Роскомнадзором было проведено 1253 проверки в отношении операторов, осуществляющих обработку персональных данных, по результатам которых выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях. По результатам рассмотрения представленных материалов судами вынесены постановления о привлечении операторов к административной ответственности в виде штрафа на общую сумму 4 480 000 рублей, что почти в 60 раз больше показателей 2012 года.
Рисунок 1 – Результаты проверки в отношении операторов, осуществляющих обработку персональных данных
Таблица 1 - Меры ответственности за невыполнение и/или нарушение требований закона «О персональных данных»16
Нормативно-правовой акт |
Статья |
Название статьи |
Максимальная мера наказания |
Уголовный кодекс |
137 |
Нарушение неприкосновенности частной жизни |
Штраф до 300 тыс руб, арест на 4 мес, справ. работы до 1 года |
|
171 |
Незаконное предпринимательство |
Штраф до 300 тыс руб, арест на 6 мес, справ. работы до 1 года |
Кодекс РФ об административных правонарушениях |
13.11 |
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) |
Штраф до 10 тыс руб |
|
13.12 |
Нарушение правил защиты информации |
Штраф до 20 тыс руб, конфискация имущества, приостановление деятельности до 90 суток |
|
13.13 |
Незаконная деятельность в области защиты информации |
Штраф до 20 тыс руб, конфискация |
|
13.14 |
Разглашение информации с ограниченным доступом |
Штраф до 5 тыс руб |
|
19.5 |
Невыполнение в срок законного предписания |
Штраф до 500 тыс руб |
|
19.7 |
Непредставление сведений (информации) |
Штраф до 5 тыс руб |
В крайних случаях, по итогам проверки о соблюдении положений ФЗ -152 «О персональных данных» помимо наложения штрафов, может начаться уголовное преследование должностных лиц.
Кроме того, штраф накладывается за зафиксированное нарушение. Но это не означает, что за это же нарушение нельзя оштрафовать снова. При фиксации нарушений выдается предписание о немедленном устранении нарушений в течение n дней. И через этот срок проверка может прийти снова и вновь наложить штрафные санкции, добавив к ним весомую ст.19.5 Административного кодекса с максимальным размером – 500 тыс рублей.
Хотя, конечно, в большинстве случаев самой распространенной практикой является квалификация нарушений по ст.13.11 Административного кодекса РФ, предусматривающая штрафные санкции от 5 до 10 тыс руб.