Уголовная ответственность за разглашение персональных данных

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Какие данные являются персональными

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

• на граждан — от 500 до 1 000 руб.;
• на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

• от всех ли работников получено согласие на обработку персональных данных;
• ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
• должным ли образом осуществляется хранение и защита персональных данных;
• соответствует ли документация об их обработке требованиям законодательства и т.д.

Статьи по теме

Право на неприкосновенность частной жизни защищено законодательством РФ и в частности законом №152-ФЗ «О персональных данных». В статье разберем, какие сведения попадают под защиту и как предпринимателю защитить персональные данные сотрудников.

Нормы законодательства

Закон №152-ФЗ поставил точку в дебатах по рискам предоставления личной информации при устройстве на работу и анкетировании в коммерческих и некоммерческих организациях.

Под действие закона стала подпадать информация не только на бумажных носители, но и на электронных носителях. Наказание за разглашение персональных данных может наступить даже в случае неумышленных случаев, при которых стало возможным копирование информации о сотрудниках, клиентах посторонним лицом.

В зависимости от ситуации виновное лицо (организация) может привлекаться к административной или уголовной ответственности. Чтобы избежать штрафов и проблем с контролирующими органами, тщательно подходите к вопросу защиты персональных данных. Не стоит отказываться от контроля за этой стороной деятельности компании только потому, что у вас не хватает времени. Стоит передать часть работы на аутсорс, чтобы освободить ресурсы и найти способ защитить бизнес и компанию от недоразумений.

Закон регламентирует, что именно относится к персональным данным работника, правила обработки данных, как нужно защищать информацию. В том числе указано требование регистрации операторов, осуществляющих обработку персональных данных. Контроль над исполнением законодательства возложен на Роскомнадзор.

На практике для отслеживания нарушений, касающихся персональных данных, применяются нормы Трудового Кодекса (гл. 14), локальные акты предприятий, что уточняет применение законодательства. Например, информация о сотруднике при приеме на работу или увольнении рассматривается отдельно от случаев предоставления данных заемщиками при получении кредита в банке.

Категории персональных данных

Первые пояснения, касающиеся категорий персональных данных, появились в Постановлении Правительства №1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при обработке в информационных системах». Этот заложило базу появления норм ответственности за разглашение персональных данных по ст. 137 УК РФ, КоАП.

• общедоступные сведения;
• специальные категории;
• биометрические параметры;
• иные материалы.

Все прочие документы таких сведений не содержат. Можно обратиться к уже прекратившему действие Приказу №55/86/20 от 13.02.08 г., разработанному совместно ФСТЭК, ФСБ, Минкомсвязи. В нем упоминаются категории и классы информационных систем, но вразумительного объяснения по предмету обсуждения нет. Поэтому с появлением документа вопрос уголовной ответственности за разглашение персональных данных оставался открытым. Было непонятно, за что именно могут наказать и как правильно проводить обработку персональных данных работников, иных лиц.

Какие формы сбора сведений контролируются

В связи с отсутствием четких формулировок появилось мнение, что любую организацию, человека можно привлечь к ответственности за разглашение персональных данных гражданина. Но это вовсе не так.

Под контролем находятся:

• интернет-сайты с опубликованными формами обратной связи с полями «ФИО, телефон или электронная почта;
• организации со штатом наемных сотрудников;
• компании, работающие с паспортными данными клиентов (например, турфирмы);
• бюджетные учреждения (детский сад, администрация).

Сотрудники этих категорий предприятий несут уголовную и административную ответственность за разглашение персональных данных. То же относится к юридическим лицам, их руководителям. Но надо учитывать, что ответственность наступает в случае коммерческого использования информации. Если материалы применяют для личного общения или для выполнения служебных обязанностей, речи о наказании идти не может.

Так, персональные данные работника являются инструментом оформления по Трудовому Кодексу РФ. Когда бухгалтер звонит на личный номер телефона сотрудника по вопросу предоставления больничного листа, он просто выполняет свою работу. В то же время предоставление контактов третьим лицам для рекламы и иных действий, не предусмотренных Трудовым Кодексом уже является нарушением закона.

Кто имеет право запрашивать доступ

Каждый субъект (владелец) имеет исключительное право запрашивать сведения о себе, включая подачу заявления об уточнении, блокировке, уничтожении данных. В остальных случаях надо позаботиться, чтобы статьи о разглашении персональных данных не стали причиной штрафов или привлечения к уголовной ответственности.

• оперативно-розыскные мероприятия правоохранительных органов, когда субъект арестован или задержан по подозрению в совершении преступления;
• разведывательная, контрразведывательная деятельность, осуществляемая в целях обороны страны, безопасности государства, охраны правопорядка;
• работа банков, финансовых организаций по противодействию легализации (отмыванию) доходов, полученных преступным путем, включая финансирование терроризма;
• обработка сведений, направленных на транспортную безопасность.

Все перечисленные варианты доступа к информационным базам оформляются в соответствии с текущим законодательством (официальные запросы с указанием закона, рапорты и т.д.). Иначе регистрирующий орган, руководитель и ответственные за хранение лица привлекаются за разглашение персональных данных по ст. 137 УК РФ или КоАП в зависимости от степени вины.

Ответственность за распространение персональных данных

Согласно закону о разглашении персональных данных №152-ФЗ предусматривается четыре вида ответственности: административная, уголовная, гражданско-правовая и дисциплинарная. В каждом конкретном случае принимается индивидуальное решение со стороны уполномоченного органа.

Таблица 1. Примеры применения законов

Неправомерный отказ в предоставлении материалов, если это предусмотрено законом или предоставление заведомо недостоверных сведений

должностные лица – 5-10 тыс. руб.

Обработка ПД с нарушениями

Предупреждение или штраф для:

граждан – 1-3 тыс. руб.;

должностные лица – 5-10 тыс. руб.;

юр. лица – 30-50 тыс. руб.

Часть 1 ст. 13.11 КоАП РФ

Обработка ПД без письменного согласия субъекта

граждане – 3-5 тыс. руб.;

должностные лица – 10-20 тыс. руб.;

юр. лица – 15-75 тыс. руб.

Часть 2 ст. 13.11 КоАП РФ

Ограничение доступа к политике обработки информационных ресурсов

Предупреждение или штраф:

граждане – 700-1 тыс. руб.;

должностные лица – 3-6 тыс. руб.;

ИП – 5-10 тыс. руб.;

юр. лица – 15-30 тыс. руб.

Часть 3 ст. 13.11 КоАП РФ

Незаконный сбор (распространение) информации о частной жизни субъекта

Штраф до 200 тыс. руб. или обязательные работы сроком до 360 часов, включая лишение права занимать ряд должностей до 3 лет

То же, с использованием служебного положения

Штраф 100-300 тыс. руб либо лишение права занимать ряд должностей сроком на 2-5 лет

Неправомерный доступ к охраняемой законом компьютерной информации, включая уничтожение, копирование, изменение

Штраф до 200 тыс. руб., исправительные работы до 1 года, ограничение свободы до 2 лет

Причинение убытков результате нарушений законодательства по защите ПД

Когда речь идет о персональных данных работника к перечисленным видам привлечения относятся и такие варианты, как увольнение, выговор (дисциплинарная ответственность). Это не исключает административного штрафа или лишения свободы. Поэтому сотрудникам приходится внимательно следить за нормативной базой и скрупулезно соблюдать требования.

Как предотвратить ЧП

Исключить индивидуальную ответственность за разглашение персональных данных работника или снизить риски можно за счет компьютерных средств защиты информации.

• используйте антивирусное программное обеспечение,
• контролируйте использование и распространение учетных данных;
• блокируйте служебные компьютеры на период отсутствия сотрудника;
• создавайте резервные копии данных.

Современные средства автоматизации защищают информационные базы надежно. Случаи несанкционированного распространения (копирования, публикации) преимущественно связаны с халатностью должностных лиц, мошенничеством и иными преступлениями.

Три месяца бухгалтерского, кадрового учета и юридического сопровождения БЕСПЛАТНО. Торопитесь оставить заявку, предложение ограничено.

Частная жизнь любого гражданина защищена Конституцией. Если на нее незаконно посягают, собирают и распространяют информации о лице, применяется наказание по ст 137 УК РФ. Она содержит сведения о видах и сроках ответственности за нарушение закона с учетом квалифицирующих признаков. Если человек не дает согласия о распространении личных данных, можно лишиться свободы или права на ведение деятельности, получить штраф.

О чем статья УК?

Разглашение персональных данных 137 УК РФ в статье наказывается в соответствии с тяжестью преступления.

В статье 3 части:

• в первой – указано наказание за незаконный сбор, распространение сведений о жизни лица, семейных или личных тайн без согласия, в публичном выступлении, демонстрации произведения или СМИ;
• во второй – наказание за деяние, совершенное с использованием служебного положения;
• в третьей – наказание за незаконное распространение в выступлении, произведении, СМИ, информации, которая направлена против лица до 16 лет по уголовному делу, либо с описанием полученных им физических, нравственных страданий, которые повлекли за собой причинение вреда, психическое расстройство, иные последствия.

Изложение и основные положения

Ответственность за распространение персональных данных налагается из числа штрафов, обязательных, исправительных или принудительных работ, лишения права занимать должность, ареста, лишения свободы. Если лицо совершает преступление с использованием служебного положения, то наказание предусматривает штраф, лишение права занимать должность или вести деятельность, арест, лишение свободы.

Если получило место незаконное распространение информации о несовершеннолетнем, который совершил преступление, а в СМИ указали, как он страдает, и это повлекло физические и психологические стрессы, то наказание будет выбираться из штрафа, лишения должности, принудительных работ, ареста, лишения свободы.

В каких случаях применяется, виды наказаний и сроки

Статья УК РФ за сбор информации о человеке предусматривает наказание:

• штраф до 200 тысяч рублей или зарплата за 18 месяцев;
• обязательные работы на 360 ч;
• исправительные работы на год;
• принудительные работы на 2 года;
• лишение должности или права заниматься деятельностью на 3 года;
• арест на 4 месяца;
• лишение свободы на 2 года.

Если деяние совершено с использованием служебного положения, наказания будут таковы:

• штраф 100-200 тысяч рублей или зарплата за 1-2 года;
• лишение права должности или деятельности на 2-5 лет;
• принудительные работы или лишение свободы на 4 года;
• арест на полгода.

Если в результате деяния пострадало лицо младше 16 лет, которому были причинены психические страдания, то наказание таково:

• штраф 150-350 тысяч рублей или зарплата за 1,5-3 года;
• лишение права должности или деятельности на 3-6 лет;
• принудительные работы или лишение свободы на 5 лет;
• арест на полгода.

Комментарии к статье 137

При вторжении в частную жизнь, УК РФ применяет статью 137.

Комментарии к ней:

• Основной объект – общественные отношения, которые складываются из реализации принципа неприкосновенности частной, семейной и личной жизни.
• Факультативные объекты – честь, достоинство.
• Про вмешательство в личную жизнь статья УК РФ говорит о квалификационных составах преступления и описывает деяния небольшой тяжести.
• Объективная сторона – незаконный сбор, распространение сведений без согласия. Информация может издаваться публично демонстрироваться, описываться в СМИ.

Сведения о жизни лица – информация о фактах, о семье, личных связях.

• Собирание сведений – совершение действий, после которых виновный получает информацию и становится ее обладателем. Распространение – сообщение третьим лицам информации любым способом в безвозмездной или возмездной форме.

• Собирание и распространение незаконные, если действия совершаются без согласия и в нарушении законодательства.
• Распространение сведений – оглашение в ходе выступления в открытом для свободного помещения месте, где присутствует много людей, не принадлежащих к кругу семьи (митинг, пикет, демонстрация, конференция, собрание).

При распространении сведения в публичной демонстрации произведения они должны быть частью произведения науки, искусства или литературы в качестве объекта авторского или смежного права.

Публичная демонстрация произведения – публичный показ, передача в Интернете или на ТВ, в месте, где собрано много людей. Распространение сведений в СМИ – в газетах, радио, видеопрограммах, хрониках кино, иных формах периодики (журнал, альманах, бюллетень, выходящие не реже раза в год). Передачи и видеопрограммы также должны выходить не реже раза в год, иметь постоянное название.

Состав преступления формальный. Оно окончено в момент совершения действия. Субъективная сторона – вина прямого умысла. Мотив и цель не имеют значения для квалификации. Субъект – физическое вменяемое лицо старше 16 лет. Во 2-й части статьи субъект специальный, использующий служебное положение, полномочия, привилегии по службе, включая трудовой договор или контракт.

Носители сведений информации – документы, вещи, информация на носителях, другой человек. Собрать информацию можно законно или незаконно. Чаще встречается последний вариант – наблюдение, подслушивание, расспросы, кража документов. Тогда преступление квалифицируется по статьям 138, 139 и 272. Частная жизнь – область жизнедеятельности человека, относящаяся только к нему.

Тайну сведения не могут составлять ранее опубликованные сведения. Если сбор информации сопряжен с проникновением в жилище, то это еще одно преступление. При разглашении тайны об усыновлении применяется ст. 155, при иных – ст. 17. Если сведения охраняются уголовным законом (данные следствия), то разглашение карается по ст. 310.

Не образует состава преступления сбор и распространение информации, основанное на положении закона (о полиции, оперативном розыске, СМИ). При решении вопроса о наличии состава преступления, нужно исходить из обеспечения репутации, свободы мысли, слова.

Что показывает судебная практика по данной статье?

Статья 137 УК РФ О нарушении неприкосновенности частной жизни применяется редко, потому что иначе тайну, составляющую личную информацию, необходимо будет разгласить еще большему количеству людей, что нежелательно.

Примеры судебной практики:

• Гражданин К. выкрал информацию о семейном положении гражданки А., и начал публично ее демонстрировать. А. не находилась замужем официально, сожительствовала с мужчиной, но говорила, что они расписаны. К. рассказал всем коллегам и друзьям девушки, что это не так, чем подставил под удар ее личную жизнь. А. подала на него в суд за разглашение семейной тайны. Суд принял ее сторону. В результате К. отделался штрафом и возмещением морального ущерба девушке.
• Гражданка Г. незаконно проникла в квартиру своего бывшего мужа П. и украла информацию о его работе. Позже она выставила его данные о зарплате в Интернете, надеясь привлечь аудиторию и доказать, что муж не платит ей алименты. Тот обратился в суд, который признал его действия законными. В результате Г. судили по двум статьям, включая незаконное проникновение в жилище. Она получила 4 года лишения свободы условно.
• Гражданин Ф. узнал, что его мать подрабатывает репетиторством, но не хочет отдавать ему часть денег, хотя у нее нет на то оснований. Он решил вынести эту информацию на суд общественности и заказал рекламу против нее с надписью «Ворует у государства и не платит налоги». Мать обратилась в полицию, призналась, что скрывала доход и не платила налог, но готова исправиться. Ф. в итоге получил 3 года лишения тюрьмы.

Какие решения чаще всего выносятся по статье 137?

При незаконном использовании персональных данных статья УК РФ 137 применяется не часто. Так, за 2017 год по ней проходило всего 86 дел. Из них условное лишение свободы получило 2 человека, 36 – штраф, 14 – исправительные и 31 – обязательные работы. По первой части статьи прошло 84 дела. По второй всего 2.

Что чаще всего является отягчающими и смягчающими обстоятельствами?

Статья за разглашения персональных данных указывает, что усилить меру и увеличить сроки наказания могут обстоятельства. Если деяние совершено с использованием служебного положения или принесло тяжкие психические и моральные страдания пострадавшему. О смягчающих обстоятельствах в ней не говорится.