Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – № 152-ФЗ, Закон, ФЗ «О персональных данных») регулирует отношения связанные с обработкой персональных данных, осуществляемой государственными органами, муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств (ст. 1 № 152-ФЗ).
Что такое персональные данные? В соответствии со ст. 3 Закона персональные данные – любая информация, относящаяся прямо или косвенно к конкретному физическому лицу (субъекту персональных данных). Это могут быть фамилия, имя, отчество, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 № 152-ФЗ).
Обработка персональных данных осуществляется оператором, в роли которого выступает государственный орган, муниципальный орган, юридическое или физическое лицо. Именно оператор осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Основным направлением действия 152-ФЗ является защита личной информации физического лица от неразрешенного доступа к ней и предотвращение незаконного хранения и последующей обработки. Реализация закона пытается решить главную проблему современности — это использование личных данных человека незаконным путем.
Цель закона № 152-ФЗ заключается в регулировании отношений, связанных с обработкой персональных данных обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст. 2 закона № 152-ФЗ).
С июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц.
Это касается всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков – физических лиц, всего бизнес – сообщества, взаимодействующего с персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей).
Последняя редакция содержит список нарушений, за которые оператор по обработке персональных данных привлекается Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором) к ответственности:
Какие есть основные меры по защите персональных данных? Статья 24 закона № 152-ФЗ “О персональных данных” прямо определяет виды ответственности за нарушение требований федерального закона.
Лица, виновные в нарушении требований закона “О персональных данных”, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность.
Презентация к вебинару: Персональные данные в общем доступе. Как избежать нарушений и штрафов?
В соответствии со ст. 151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
Согласно ч. 2 ст. 1099 ГК РФ моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом.
На основании ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.
Следовательно
Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных, допущенного лицом, ответственным за осуществление вышеперечисленных действий с персональными данными, гражданину причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии с нормами гражданского законодательства.
Персональные данные относятся к сведениям, которые охраняются федеральным законом № 152-ФЗ. Неправомерное разглашение персональных данных лицом, в чьи трудовые обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ).
При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.
Как только работодатель получает от работника вышеуказанные документы, на него возлагается обязанность обеспечить хранение и защиту персональных данных, в них содержащихся (ст. 14 ТК РФ).
Ответственность за распространение персональных данных несет в первую очередь директор. А кроме него, ответственные лица: отдел кадров или работник, отвечающий за сохранность этих данных согласно условиям трудового договора или должностной инструкции.
Работодатель имеет право расторгнуть трудовой договор по ст. 81 ТК РФ или привлечь к дисциплинарной ответственности по ст. 192 ТК РФ в случае выявления разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Кроме того, ст. 90 ТК РФ предусмотрена материальная ответственность за виновное нарушение норм, регулирующих обработку и защиту персональных данных работников. Так, в результате незаконного распространения информации о персональных данных работника последнему может быть причинен моральный вред, подлежащий возмещению работодателем.
В соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно части 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
Если незаконное распространение личных данных будет расценено как уголовное преступление, последует наказание по статье 137 УК РФ.
В соответствии с данной статьей незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок до 360 часов, либо исправительными работами на срок до 1 года, либо принудительными работами на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо арестом на срок до 4 месяцев, либо лишением свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.
Часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового, либо арестом на срок до 6 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.
Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Роскомнадзор, полномочиями по возбуждению дел об административных правонарушениях.
После введения в действие Правил проверки операторов персональных данных (Постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»), установивших виды и периодичность проверок Роскомнадзора, кратно увеличилось количество запросов в адрес компаний о приведении в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Закона «О персональных данных»).
Кроме того
ФЗ «О персональных данных» действует в России уже 14 лет, однако многие компании до сих пор игнорируют его требования, при этом государство всячески пытается привлечь внимание к проблеме защиты персональных данных, и последние его шаги в этом направлении привели к важным изменениям, в частности, это касается ужесточения административной ответственности за нарушение № 152-ФЗ.
Статья 13.11 КоАП РФ, предусматривающая ответственность за нарушения в сфере обработки персональных данных, претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них.
КоАП РФ предусматривает несколько составов правонарушений в сфере обработки персональных данных:
Привлечение к ответственности по ст. 13.11 КоАП РФ происходит в виде предупреждения или штрафа.
Размер штрафа по указанным составам варьируется:
В связи с ужесточением требований закона в сфере оборота персональных данных, специалисты RTM Group рекомендуют обращаться к компетентным специалистам на любой стадии работы и взаимодействия с персональными данными. Опытные юристы нашей компании помогут выполнить все требования законодательства по защите персональных данных, предотвратить риски нарушения закона и привлечения к ответственности.