Новая ответственность за нарушение персональных данных с 27 марта 2021
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Новая ответственность за нарушение персональных данных с 27 марта 2021». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Объективная сторона рассматриваемого правонарушения заключается в нарушении установленного законом порядка сбора, хранения, использования или распространения персональных данных. В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Определения сбора и хранения персональных данных Закон не содержит, однако устанавливает, что под обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Что такое согласие на обработку персональных данных?
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
Каким образом возможно законное использование персональных данных?
Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.
В соответствующем соглашение на персональные данные должно быть отмечено:
- Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
- Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
- Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
- Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
- Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.
Ситуации из практики: что изменится с 1 июля
Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение – от 15 000 до 75 000 руб., на должностное лицо – от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).
Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.
Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Персональные данные пациента и врачебная тайна
Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.
Разглашение персональных данных 137 ук рф
Разглашение персональных данных 137 УК РФ при определенных условиях дает возможность признать основанием для привлечения человека к уголовной ответственности. В нашей статье будут рассмотрены условия возникновения этой ответственности, в том числе в отношении лиц, имевших в силу служебного положения доступ к таким данным и разгласивших их.
- Что такое персональные данные
- Разглашение персональных данных. Объект и предмет преступления
- Разглашение каких персональных данных уголовно наказуемо (судебная практика)
- Статья о распространении персональных данных, характеристика деяния
- Субъективные признаки разглашения персональных данных
- Ответственность за разглашение персональных данных гражданина, виды и размеры наказаний
Административная ответственность
Начнем с более точного определения персональных данных, а именно с информации из документов и сведений о личности, не предназначенных огласке и защищенных различными нормами законодательства. Это могут быть паспортные данные, личные идентификаторы гражданина, а так же иные сведения, например об имеющихся у него болезнях (защищены врачебной тайной). За распространение таких сведений уголовная ответственность не предусмотрена, так как работа с ними регулируется гражданским кодексом. И поэтому за наказание отвечает Кодекс об Административных Правонарушениях, а именно статья 13.11.
Статья 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных» защищает любые сведения, нераспространение которых гарантировано государством, состоит из 7 частей и достаточно подробно описывает все возможные виды наказания:
- Часть первая. Рассматривает запрос и обработку личной информации в тех случаях, когда она не требуется по закону. Грозит предупреждением, наложением штрафа от 1000 до 3000 рублей для граждан, от 5000 до 10000 для должностных лиц и от 30000 до 50000 для юридических лиц;
- Часть вторая. Рассматривает сбор и обработку информации без письменного согласия их владельца в тех случаях, когда оно необходимо. Наказанием послужит штраф от 3000 до 5000 рублей для граждан, от 10000 до 20000 для должностных лиц и от 15000 до 70000 для организаций;
- Часть третья. Невыполнение оператором, выполняющим обработку данных, правил и норм по их опубликованию или обеспечению доступа. Наказывается штрафом от 700 до 1700 рублей для физических лиц, от 3000 до 6000 для должностных и от 15000 до 30000 для организаций;
- Часть четвертая. Рассматривает нарушения в работе оператора, касающиеся его обязанностей по предоставлению персональных данных или информации об их обработке субъекту. Наказывается штрафом от 1000 до 2000 рублей для физических лиц, от 4000 до 6000 для должностных лиц и от 20000 до 40000 для юридических лиц;
- Часть пятая. Рассматривает любое нарушение сроков в обработке, хранении, передаче, уничтожении персональной информации. Наказанием за такой проступок послужат штрафы от 1000 до 2000 рублей для физических лиц, от 4000 до 6000 для должностных лиц и от 25000 до 40000 для юридических лиц;
- Часть шестая. Рассматривает нарушения, которые привели к распространению персональных данных случайно или умышленно, а так же ошибки при обеспечении безопасности личных сведений и закрытой информации. Наказываются подобные деяния штрафом до 2000 рублей для физических лиц, до 10000 для должностных лиц и до 50000 – для организаций.
- Часть седьмая. Рассматривает нарушения законов о персональной информации, которые были замечены за сотрудниками муниципальных или государственных органов власти. Наказываются подобные нарушения штрафами до 6000 рублей.
Наказание за разглашение персональных данных
Наказание по ст. 137 УК РФ варьируется от штрафа до лишения свободы. Совершение ничем не отягченного преступления (ч. 1 ст. 137 УК РФ) грозит одним из следующих наказаний:
- штрафом в размере до 200 000 руб. (как вариант, в размере полуторагодовой зарплаты виновного);
- обязательными или исправительными работами на срок до 360 часов или до 1 года соответственно;
- до 4 месяцев ареста;
- до 2 лет лишения свободы.
Для лиц, допустивших разглашение конфиденциальных сведений о личности в связи со своим служебным положением, наказание будет строже:
- минимальный размер штрафа в этом случае составит 100 000 руб., максимальный — 300 000 руб.;
- обязательные работы в ч. 2 ст. 137 не предусмотрены, а срок принудительных увеличен до 4 лет;
- продолжительность ареста продлена до 5 месяцев, срока лишения свободы — до 5 лет.
Самые суровые последствия ждут виновных в разглашении данных о несовершеннолетних:
- согласно ч. 3 ст. 137 УК РФ им придется заплатить от 150 000 до 350 000 руб. штрафа либо принудительно отработать до 6 лет;
- в качестве альтернативы возможен арест на срок до полугода или до 6 лет тюрьмы.
Персональные данные и административная ответственность за их разглашение
Федеральным законом № 152-ФЗ «О разглашении персональных данных» даны их четкие определения. Это любые сведения, которые могут относиться к человеку, включающие его:
- фамилию, имя и отчество;
- фактический адрес проживания;
- положение семейного, имущественного и социального характера;
- число и место рождения;
- вид образования, профессию, доходы и прочее.
Ответственность за разглашение конфиденциальной информации по КоАП РФ регулируется статьей 13.14 . Такое правонарушение облагается штрафом:
- 4000 — 5000 р. для должностных лиц;
- 500 — 1000 руб. для рядовых граждан.
Чего следует опасаться гражданину
Утечка информации может привести к, мягко говоря, неприятным последствиям:
- огласка посторонним лицам частных (приватных) фактов из жизни человека, которые компрометируют личность, влияют на репутацию, прочее;
- угроза разглашения определенных обстоятельств заинтересованным в этом лицам, от которых гражданин скрывает информацию (шантаж);
- различные мошеннические действия, направленные на завладение имуществом, деньгами;
- незаконный доступ к банковским карточкам, счетам с целью хищения финансов;
- хулиганские действия, наиболее часто распространены в Интернет-среде, например, передача данных для рекламных рассылок;
- попытки переложить ответственность за неправомерные действия злоумышленником, путем создания видимости причастности к такой деятельности гражданина;
- получение на имя человека кредитов, займов;
- открытие на гражданина фирм-однодневок;
- ухудшение социального статуса, что может понизить авторитетность как потребителя, например, как потенциального заемщика.
Что такое персональные данные
Закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) определяет персональные данные (далее — ПД) как всякую косвенно или напрямую относящуюся к физическому лицу (носителю ПД) информацию. Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан.
В частности, ими могут быть получены:
- данные о личности человека (паспортные данные, сведения об образовании, трудовой деятельности, военной службе, финансовом и семейном положении, медицинские данные, биографические факты);
- данные о родственниках человека;
- прочие сведения, с помощью которых можно идентифицировать человека (переписка, сведения о полученных и отправленных сообщениях, телефонных контактах).
Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст. 6 закона № 152-ФЗ). Обрабатывать ПД (в том числе распространять) можно только в соответствии с принципами, определенными ст. 5 того же закона, — и только в законных и заранее установленных целях, на законной основе и т. д. В противном случае возможно привлечение нарушителей к ответственности, в том числе уголовной — по ст. 137 УК РФ.
В организациях доступ к ПД обычно в силу служебных обязанностей имеют лишь руководители, сотрудники бухгалтерии, юридической и кадровой служб, а в государственных (особенно правоохранительных) и муниципальных органах он может быть и у множества рядовых сотрудников. Если такие работники будут использовать соответствующие ПД не по назначению, их может ожидать ответственность по ч. 2 или 3 ст. 137 УК РФ (наказание по которым гораздо строже, чем по ч. 1).
Статья о распространении персональных данных, характеристика деяния
Объективная сторона преступления, рассматриваемого в ч. 1 и 2 ст. 137 УК РФ, описана альтернативно следующими действиями в отношении соответствующих сведений:
- Сбор.
- Распространение.
- Распространение специальным способом: в СМИ, публичном произведении или в выступлении.
Для привлечения к ответственности необходимо, чтобы эти действия совершались:
- незаконно (с любым нарушением процедуры, установленной законодательством);
- без согласия субъекта ПД.
Как правило, незаконному распространению ПД предшествует их сбор. Трактовка понятия «распространение» в уголовном законе более широкая, нежели в законе № 152-ФЗ. Так, согласно п. 5 ст. 3 закона № 152-ФЗ, распространением ПД является их раскрытие неопределенному кругу лиц. Для привлечения же к ответственности за разглашение ПД по ст. 137 УК РФ достаточно сообщить их хотя бы одному человеку.
Подпишитесь на рассылку С условиями обработки персональных данных согласен Подписаться Яндекс.Дзен ВКонтакте Telegram
Для привлечения к ответственности по ч. 1 и 2 ст. 137 УК РФ неважно, наступили ли в результате действий какие-либо последствия, т. е. преступление имеет формальный состав. В ч. 3 рассматриваемой статьи деяние описано особо: публичное распространение (в СМИ, информационных сетях, выступлении или произведении) сведений о подростке младше 16 лет, выступающем потерпевшим по уголовному делу.
При этом для привлечения к ответственности за такое деяние необходимы альтернативно описанные последствия, чье наступление обусловлено деянием (перечень открытый):
- вред здоровью несовершеннолетнего;
- психическое расстройство несовершеннолетнего;
- другие тяжкие последствия (к ним можно отнести, например, суицид, совершенный несовершеннолетним потерпевшим).