!!Экзамен зачет 2025 2026 год / Шибаев Д.В. - Информационное право
.pdfгражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. По статье предусмотрено наказание: штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.
По ст. 272 Уголовного кодекса РФ наступает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. По статье предусмотрен штраф в размере от 200 тысяч рублей или лишение свободы на срок до 2 лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, предусматривает штраф в размере от 100 тысяч или лишение свободы на срок до 5 лет.
Как следует из диспозиции статьи, правоприменимость статьи зависит от наличия средств защиты персональных данных как признака охраняемой информации. Но статья относится к лицу, совершившему неправомерный доступ, а не к оператору персональных данных. Кроме того, данная норма содержит условие, которое позволяет отнести данное правонарушение к разряду уголовно наказуемых деяний, "если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
Кодекс об административных правонарушения
Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).
Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных дан-
91
ных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 «О персональных данных».
Ст. 13.12 "Нарушение правил защиты информации" содержит три обязательных признака, только при их наличии наступает ответственность по ст.
13.12:
1.Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения.
2.Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
3.Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).
92
Задачи Персональные данные
****
Задача 1.
Иванов И.И. заключил трудовой договор с ООО «Копыта и рога». При заключении трудового договора Иванов обратился к работодателю с заявлением о перечислении заработной платы на указанный им счет в банке Югра (банковскую карту). Договора на передачу персональных данных работников у работодателя с этим банком нет, так как ООО «Копыта и рога» имеет счет в банке СГБ и проводят все операции на счета в банке СГБ. Должен ли в этом случае Иванов И.И. дать работодателю письменное согласие на передачу персональных данных третьему лицу?
Ответ: Поскольку договор с банком на выпуск банковской карты заключен самим работником, письменного согласия от работника на передачу работодателем персональных данных не требуется, если в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника. Согласно ст.136 Трудового кодекса РФ заработная плата выплачивается работнику в месте выполнения им работы либо перечисляется на указанный работником счет в банке на условиях, определенных коллективным или трудовым договором.
В соответствии с ч.3 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор имеет право поручить обработку персональных данных сторонней организации (третьему лицу) с согласия субъекта персональных данных.
Согласно разъяснениям Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» обработка персональных данных работника не требует получения соответствующего согласия при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством. Передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия, если договор на выпуск банковской карты заключался напрямую с работником и в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника.
Таким образом, поскольку договор с банком на выпуск банковской карты заключен самим работником, письменного согласия от работника на передачу работодателем персональных данных не требуется при условии, что в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника.
93
****
Задача 2.
В одной из гостиниц города Н. решила остановиться девушка. Она зарегистрировалась у администратора, получила ключ и отправилась к себе в номер. Все это время за ней наблюдал мужчина и впоследствии он решил спросить у администратора ее имя, и в каком номере она остановилась. Администратор предоставил всю интересующую информацию.
Будет ли администратор гостиницы являться оператором обработки ПД? Имел ли он право предоставлять данную информацию?
Ответ: 1. На основании п. 2 ст. 3 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» администратор будет являться оператором, т.к. он осуществлял обработку ПД девушки с целью регистрации ее в конкретном номере гостиницы.
2. Согласно ст. 7 вышеуказанного ФЗ администратор не имел права предоставлять информацию о девушке, потому что она не давала согласия.
****
Задача 3.
Организация «Петрокоммерц» передает данные о работниках для оценки их деловых качеств третьим лицам - специализированной организации, производящей оценку персонала. В частности, передаются специально разработанные анкеты, содержащие фамилию, имя, отчество, год, месяц, дату и место рождения, адрес работника. Согласия на передачу персональных данных у работника не получено. Каким образом возможно передать сведения третьему лицу, не нарушая законодательство о защите персональных данных?
Ответ: в соответствии со ст.3 ФЗ № 152 «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных ч.2 ст.6 ФЗ № 152. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (ст.6 ФЗ N 152).
Согласно ст. 88 Трудового кодекса РФ при передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника;
94
-не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
-предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
ФЗ № 152 допускает обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных. Обезличивание персональных данных - действия,
врезультате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (ст.3 ФЗ № 152).
Приказом Роскомнадзора от 05.09.2013 № 996 утверждены Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
-метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
-метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
-метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
-метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
****
Задача 4.
Обязано ли предприятие, чей штат состоит из одного человека - директора, который к тому же является и единственным участником (учредителем) общества, - иметь положение о порядке хранения и использования персональных данных работников или это только его право? Будет ли отсутствие такого положения в указанной ситуации являться нарушением трудового законодательства и, соответственно, быть основанием для привлечения работодателя к административной ответственности?
Ответ: В соответствии с п. п.1, 3 ст.3 Федерального закона от 27.07.2006 ФЗ № 152 «О персональных данных» персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или
95
определяемому физическому лицу (субъекту персональных данных); а обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно ст.87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. Указанная норма не предполагает альтернативы в наличии или отсутствии локального акта у работодателя, регулирующего порядок хранения и использования персональных данных работников, в том числе и в случае, когда штат общества состоит всего лишь из одного работника (например, директора). Наличие такого порядка у каждого работодателя - императивное требование закона. Альтернатива возможна в порядке принятия данного акта в зависимости от того, имеется ли на предприятии первичная профсоюзная организация или нет, требуется ли согласование данного локального акта с выборным органом первичной профсоюзной организации или нет в порядке ст.372 ТК РФ.
Отсутствие разработанного на предприятии порядка хранения и использования персональных данных работников расценивается как нарушение требований ст.87 ТК РФ и, соответственно, образует состав административного правонарушения, предусмотренного ст. 5.27 КоАП РФ. Практика реального наказания работодателей за указанное нарушение уже широко применяется. Пример: Решение Верховного суда Республики Карелия от 11.04.2014
по делу N 21-153/2014).
Работодатель обязан утвердить те или иные локальные акты, требуемые к наличию ТК РФ, независимо от количества штата работников и их качественных характеристик. Предприятие, состоящее из одного лишь директора, являющегося и учредителем, не может быть освобождено от выполнения требования ТК РФ о наличии локального акта, который оно обязано иметь в силу положений ТК РФ (Пример Апелляционное определение Московского городского суда от 06.05.2014 по делу N 33-15735/14).
****
Задача 5.
В трудовой договор с работником Усовым включено условие о согласии предоставить Ф.И.О., должность и краткую автобиографию работодателю для опубликования на общедоступном сайте работодателя в сети Интернет. Необходимо ли дополнительно запрашивать согласие работника на предоставление персональных данных (по правилам ФЗ «О персональных данных»)? Организация не относится к тем работодателям, обязанность по
96
размещению персональных данных работников которых в сети Интернет установлена нормативно.
Ответ: Согласно п.3 ст.86 Трудового кодекса РФ все персональные данные работника следует получать у него самого.
Всоответствии с ч.1 ст. 6, ст.9 ФЗ № 152 обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Вст. 8 ФЗ № 152 установлено, что в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Требования к письменному согласию субъекта персональных данных установлены в ч.4 ст.9 ФЗ № 152: согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согла-
сие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществ-
ляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
97
8)срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9)подпись субъекта персональных данных.
Как отмечается в разъяснениях Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве, согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч.4 ст.9 ФЗ № 152.
Таким образом, условие трудового договора только о согласии работника на предоставление соответствующих сведений не может считаться надлежащим согласием по смыслу ФЗ № 152. В данной ситуации необходимо составить отдельный документ, соответствующий требованиям ч.4 ст.9 ФЗ № 152, или заключить дополнительное соглашение к трудовому договору.
****
Задача 6.
Иванов, ответчик по гражданскому делу № 2-6121/15, увидел на сайте Вологодского городского суда текст судебного акта по данному делу и свои фамилию, имя и отчество в тексте судебного акта. Иванов не подписывал соглашения на обработку персональных данных. Иванову не понравилось, что его персональные данные фигурируют в судебном акте, так как это компрометирует его как недобросовестного подрядчика по договору строительного подряда. Оцените ситуацию. Правомерны ли действия суда?
Ответ: Действия суда правомерны.
Согласно Часть 3 статьи 15 ФЗ от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в РФ» при размещении в сети "Интернет" текстов судебных актов, вынесенных судами общей юрисдикции, за исключением текстов судебных актов, подлежащих в соответствии с законом опубликованию, в целях обеспечения безопасности участников судебного процесса из указанных актов исключаются персональные данные, кроме фамилий и инициалов истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, осужденного, оправданного, лица, в отношении которого ведется производство по делу об административном правонарушении, секретаря судебного заседания, рассматривавших (рассматривавшего) дело судей (судьи), а также прокурора, адвоката и представителя, если они участвовали в судебном разбирательстве. Вместо исключенных персональных данных используются инициалы, псевдонимы или другие обозначения, не позволяющие идентифицировать участников судебного процесса.
98
В соответствии с ч. 5 статьи 15 указанного Закона не подлежат размещению в сети «Интернет» тексты судебных актов, вынесенных по делам:
1)затрагивающим безопасность государства;
2)возникающим из семейно-правовых отношений, в том числе по делам об усыновлении (удочерении) ребенка, другим делам, затрагивающим права и законные интересы несовершеннолетних;
3)о преступлениях против половой неприкосновенности и половой свободы личности;
4)об ограничении дееспособности гражданина или о признании его недееспособным;
5)о принудительной госпитализации гражданина в психиатрический стационар и принудительном психиатрическом освидетельствовании;
6)о внесении исправлений или изменений в запись актов гражданского состояния;
7)об установлении фактов, имеющих юридическое значение, рассматриваемых судами общей юрисдикции;
8)разрешаемым в порядке статьи 126 Гражданского процессуального кодекса Российской Федерации.
Данное дело не относится ни к одной из вышеперечисленных катего-
рий.
****
Задача 7.
В связи с нарушением статьи 4 Закона РФ от 27 декабря 1991 года № 2124-1 «О средствах массовой информации» и опубликовании редакцией газеты «ИНФО-ПОСТ» материалов, которые содержат персональные данные несовершеннолетней гражданки: ФИО, дату рождения, сведения о школе, а также перечня других статей, о нарушении персональных данных, опубликованных, как без ее согласия, так и без согласия законного представителя, повлекло нарушение прав несовершеннолетней. В связи с этим Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций вынесло письменное предупреждение о недопустимости распространение посредством СМИ сведений, составляющих специально охраняемую законом тайну. Предупреждение было вынесено главному редактору газеты «ИНФО-ПОСТ». Но, главный редактор не отреагировал на данное предупреждение и продолжал опубликовывать персональные данные граждан без их согласия. В связи с этим, Управление Роскомнадзора обратилось в Костромской областной суд с исковым заявлением о прекращении деятельности газеты «ИНФО-ПОСТ». Как должен разрешить дело суд?
Ответ: Суд должен вынести решение об удовлетворении исковых заявлений Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и прекратить деятель-
99
ность газеты. Так как, согласно статье 4 Закона РФ от 27 декабря 1991 года № 2124-1 «О средствах массовой информации» не допускается использование средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Кроме того, статья 16 данного закона определяет, что основанием для прекращения судом деятельности средства массовой информации являются неоднократные нарушения редакцией требований данного закона. Такого рода нарушения должны происходить в течение двенадцати месяцев(как минимум 2 раза в течение 12 месяцев). Это характерно для данной ситуации, в связи с чем регистрирующий орган делал письменные предупреждения учредителю и главному редактору. Помимо этого, согласно статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть, к этим сведениям относится ФИО; год; месяц; дата и место рождения; адрес; семейное; социальное; имущественное положение; образование; профессия;доходы и другая информация. Согласно Главе 2 данного закона, обработка персональных данных может осуществляться только с письменного согласия субъекта персональных данных. Следовательно, редакция, получившая доступ к персональным данным, должна обеспечить конфиденциальность персональных данных путем их обезличивания. Важно отметить, что объективных доказательств того, что у редакции газеты «ИНФО-ПОСТ» были исключительные обстоятельства для распространения персональных данных в связи с защитой общественных интересов указано не было.
****
Задача 8.
Гражданка Красноокова обратилась в суд с иском к Адвокатскому бюро «Фортуна» об обязании бюро удалить ее персональные данные, размещенные на их сайте в сети интернет в опубликованном решении суда по уголовному делу. По ее мнению «Фортуна» нарушает требования Федерального закона «О персональных данных». Какое решение должен вынести суд?
Ответ: Суд должен отказать Краснооковой в иске, т.к ст. 14 ФЗ «Об обеспечении доступа информации о деятельности судов в Российской Федерации» в сети интернет в обязательном порядке публикуются все тексты судебных актов, при этом должны соблюдаться все требования, предусмотренные статьей 15 данного ФЗ, об обезличивании информации. Но при этом из текстов приговоров по уголовным делам не исключаются фамилия и инициалы осужденного. Таким образом, данная информация является публичной и достоверной, поэтому размещение ее на сайте Адвокатского бюро «Фортуна» не является нарушением закона «О персональных данных».
100