Ответственность и наказание за разглашение персональных данных

Прокурор разъясняет – Прокуратура Челябинской области

Прокурор разъясняет

• 4 сентября 2020, 10:45

Разъясняет прокурор отдела государственных обвинителей Кислицын Л.В.

Действующие законодательство Российской Федерации защищает права граждан на сохранность их конфиденциальной информации. Поэтому в нормах права установлен ряд наказаний за разглашение такой информации и её передачу третьим лицам.

Согласно Федеральному закону №152-ФЗ «О персональных данных» от 27.07.2006 (в редакции от 24.04.2020) – персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (являющемуся субъектом персональных данных), то есть к персональным данным относятся любые личные сведения о том или ином гражданине.

Седьмой статьей данного закона определена конфиденциальность персональных данных, заключающаяся о том, что лица, получившие доступ к таким данным, не имеют права их разглашать без согласия правообладателя.

В связи с этим операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено вышеуказанным федеральным законом.

В современном Российском законодательстве лица виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, а также занимающиеся незаконным собиранием и распространением персональных данных могут быть привлечены к уголовной ответственности по статье 137 Уголовного кодекса Российской Федерации– «Нарушение неприкосновенности частной жизни».

В качестве состава преступления, предусмотренного данной статьей, называется несоблюдение частной жизни. При этом статья 152.2 Гражданского кодекса Российской Федерации определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т.д.

Вместе с тем сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в Федеральном законе №152-ФЗ от 27.07.2006 “О персональных данных”, можно сделать вывод об их тождественности.

В данном случае умышленные действия, выражающиеся в незаконном сборе и распространении сведений о частной жизни человека, составляющих его личную или семейную тайну, без его согласия, влечет уголовную ответственность предусмотренную частью 1 статьи 137 Уголовного кодекса Российской Федерации, наказание за которое предусмотрено в виде штрафа в размере от двухсот тысяч рублей до лишения свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Основным объектом преступного посягательства выступают общественные отношения, складывающиеся по поводу реализации конституционного принципа неприкосновенности частной жизни, личной и семейной тайны (часть 1 статьи 23, часть 1 статьи 24 Конституции Российской Федерации). Факультативными объектами могут быть честь, достоинство и доброе имя человека.

Комментируемая статья состоит из двух частей, закрепляющих основной и квалифицированный составы преступления и описывающих преступные деяния небольшой тяжести.

Объективная сторона составов преступления выражается в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ.

Под сведениями о частной жизни лица, составляющими его личную или семейную тайну, понимается любая информация о фактах из жизни лица или его семьи, личных и семейных связях, воззрениях, привычках, традициях, пристрастиях, увлечениях и др.

Под собиранием сведений понимается совершение любых действий, в результате которых виновный приобретает указанную информацию и становится ее фактическим обладателем.

Под распространением сведений понимается их сообщение виновным третьим лицам любым способом и в любой форме как на возмездной, так и безвозмездной основе.

Собирание и распространение сведений будет незаконным в том случае, если указанные действия совершаются виновным без согласия лица и в нарушение действующего законодательства.

Под распространением сведений в публичном выступлении понимается их оглашение в ходе выступления в месте, открытом для свободного посещения, или в месте, где присутствует значительное число лиц, не принадлежащих к обычному кругу семьи (на митинге, демонстрации, пикетировании, шествии, собрании, конференции, семинаре и т.д.).

При распространении сведений в публично демонстрирующемся произведении указанные сведения должны быть составной неотъемлемой частью произведения науки, литературы или искусства как объекта авторского права или смежных прав.

Под публичной демонстрацией произведения понимается публичный показ, публичное исполнение или сообщение произведения для всеобщего сведения, то есть любой показ, исполнение или сообщение произведения, фонограммы, исполнения, постановки, передачи организаций эфирного или кабельного вещания непосредственно или с помощью технических средств в месте, открытом для свободного посещения, или в месте, где присутствует значительное число лиц, не принадлежащих к обычному кругу семьи.

Под распространением сведений в СМИ понимается их распространение в периодических печатных изданиях, радио, теле, видеопрограммах, кинохроникальных программах, иных формах периодического распространения массовой информации. Под периодическим печатным изданием понимается газета, журнал, альманах, бюллетень, иное издание, имеющее постоянное название, текущий номер и выходящее в свет не реже одного раза в год. Под радио, теле, видео, кинохроникальной программой понимается совокупность периодических аудио, аудиовизуальных сообщений и материалов (передач), имеющая постоянное название и выходящая в свет (в эфир) не реже одного раза в год.

Преступление считается оконченным в момент совершения действий, указанных в диспозиции данной статьи.

С субъективной стороны составы преступления характеризуются виной в форме прямого умысла. При этом мотив и цель для квалификации деяния как преступления значения не имеют.

Субъектом преступного посягательства является физическое вменяемое лицо, достигшее к моменту совершения преступления 16-летного возраста.

Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий, предусмотренный частью 2 статьи137 Уголовного кодекса Российской Федерации.

В части 2 данной статьи субъект специальный –это лицо, использующее для облегчения совершения преступления свое служебное положение, т.е. полномочия и привилегии, предоставленные по службе, в том числе на основе трудового договора (контракта).

Наказание за совершение предусмотренного частью 2 вышеуказанной статьи Уголовного кодекса Российской Федерации преступления предусмотрено в виде штрафа в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Третья часть вышеуказанной статьи предусматривает уголовную ответственность за распространение персональных данных несовершеннолетних, а также информации содержащей описание полученных им в связи с преступлением физических или нравственных страданий, повлекших причинение вреда его здоровью, психическое расстройство или иные тяжкие последствия.

Наказание за данное преступное деяние предусмотрено в виде штрафа в размере от ста пятидесяти тысяч до трехсот пятидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от восемнадцати месяцев до трех лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от трех до пяти лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Штрафы в области персональных данных в 2021 году

С 27 марта 2021 года вступили в силу новые штрафные санкции за нарушения в области персональных данных в соответствии с Федеральным законом от 24 февраля 2021 г. № 19-ФЗ. Суммы штрафов увеличены в 2 раза и более. Кроме этого, по некоторым статьям введено увеличенное наказание за повторное нарушение.

Также увеличился и срок давности привлечения к административной ответственности за нарушения в области персональных данных. Вместо трех месяцев теперь он составляет один год.

Административная ответственность по статье 13.11 предусматривает дифференциацию в зависимости от последствий нарушения. Так ответственность для юридического лица предусматривает наложение штрафа в размере от 30 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.

Максимальный совокупный штраф для должностного лица составляет 336 тысяч рублей, а при повторном нарушении может превышать 1 миллион рублей.

КоАП РФ не возлагает на организации, осуществляющие обработку персональных данных, дополнительных обязанностей и не изменяет содержание существующих требований, которые предусмотрены законодательством в области персональных данных (152-ФЗ).

Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями по возбуждению дел об административных правонарушениях.

Представляем вашему вниманию сводную таблицу штрафов за нарушения законодательства в области персональных данных (в редакции, действующей с 27.03.2021):

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния

Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных

Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных

Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ

Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи

Статья актуализирована с учетом изменений статьи 13.11 Кодекса об административных правонарушениях в соответствии с Федеральным законом от 24 февраля 2021 г. № 19-ФЗ.

Разглашение персональных данных

Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

Содержание статьи:

Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок.

В перечень персональных данных включается следующее:

1. Сведения о дате и месте рождения
2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
3. Уровень образования
4. Трудоустройство и стаж
5. Наличие / отсутствие судимости
6. Кредитные данные
7. Информация о родственниках
8. Место жительства (регистрации) лица
9. Переписка в любой ее форме
10. Состояние здоровья
11. Образ жизни и иные биографические данные
12. И так далее.

По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности. Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина. Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Что делать при незаконном разглашении персональных данных?

Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Последствия незаконного распространения персональных данных

Итогом нарушения любого из требований закона о персональных данных помимо денежной компенсации и возмещения возможных убытков является наличие публичной санкции в виде административного или уголовного наказания. При этом, ответственность возможна как за сбор, так и дальнейшую обработку, и распространение данных о личности.

Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.

Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.

Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц. Вид полученной переписки между гражданами не имеет значения. При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Образец жалобы на незаконное использование персональных данных

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

Звонки поступают со следующих номеров телефонов: …

Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

• провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных третьим лицам;
• привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Автор статьи:

© адвокат, управляющий партнер АБ “Кацайлиди и партнеры”

Если не получить согласие на обработку и использование персональных данных

• Согласие на обработку персональных данных
• Ответственность за нарушение законодательства
• Когда согласие на обработку персональных данных не требуется
• Итоги

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

• заручиться согласием их владельца на обработку и использование;
• обеспечивать конфиденциальность;
• хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

• 6–10 тыс. руб. — на граждан;
• 20–40 тыс. руб. — на должностных лиц;
• 30–150 тыс. руб. — на юридических лиц.

ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Грамотно организовать работу с персональными данными работников вам поможет Путеводитель от КонсультантПлюс. Если у вас еще нет доступа к этой правовой системе, пробный доступ можно получить бесплатно.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

• если лицо является участником судебного разбирательства;
• если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
• для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
• если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
• собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
• лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
• данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
• информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Итоги

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

Проверка Роскомнадзора: как подготовиться работодателю

эксперт по трудовому законодательству, преподаватель по трудовому праву

Тема охраны персональных данных касается всех, кто работает с кадровыми документами. В этой статье разберем, какие требования установлены на законодательном уровне и что может стать объектом проверки Роскомнадзора

На какие документы опираться работодателю

Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты»В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.

Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.

В конце статьи есть шпаргалка

К владельцам персональных данных относятся:

• работники;
• соискатели;
• члены семьи и родственники работников;
• третьи лица, с кем заключаются гражданско-правовые договоры;
• иные физические лица, чьи данные вы обрабатываете как оператор персональных данных.

Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как их хранить, на каких носителях, как их защищать и пр.

Что проверяет Роскомнадзор

Постановка на учет

Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.

Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес.

Как проверить, стоит ли организация на учете

Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.

Ответственный за организацию работы с персональными данными

В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора.

О том, как работать с персональными данными, читайте в интервью Марии Финатовой

Внутренняя политика по персональным данным

Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.

• Ключевое условие — разместить документ на сайте компании, если у компании есть сайт. Если сайта нет, то в открытом доступе, например при входе в офис, чтобы любой желающий мог прочитать.

Локальные нормативные акты

Это те документы, которые содержат конкретные правила и условия работы:

• какие данные обрабатываются и с какой целью,
• кто субъекты персональных данных в компании,
• куда персональные данные передаются,
• какие информационные системы используются,
• как обеспечивается защита информационных систем,
• какой класс присваивается информационной системе,
• как хранятся документы, содержащие персональные данные,
• как осуществляется сбор персональных данных,
• как уничтожаются персональные данные и пр.

Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.

Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.

Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:

• в соответствии с требованиями действующего законодательства — согласия не нужно;
• для достижения целей, которые ставит для себя работодатель как оператор персональных данных, — согласие обязательно.

Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.

Хранение и уничтожение персональных данных

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

• достигнуты цели;
• истек срок хранения, указанный в согласии;
• сам субъект попросил уничтожить персональные данные;
• данные обработали неправомерно, например с другими целями.
• субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.

Информационные системы

Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.

Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.

В конце статьи есть шпаргалка

Жалобы о нарушении прав субъектов персональных данных

Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:

• проводились ли до этого проверки и какие нарушения были выявлены;
• исправил ли их работодатель;
• не увеличился ли масштаб этого нарушения, например, в прошлый раз пожаловался один человек, а сейчас нарушение касается уже всех сотрудников.

Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.

О том, что нового появится в работе с персональными данными, расскажем на бесплатном вебинаре «Законодательные изменения по персональным данным работников. Чек-лист для кадровика».

Вместо заключения

Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.

Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:

1. Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
2. Убедиться в том, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях.
3. Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными за компьютерами и ноутбуками.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Перечень НПА для оператора персданных 630.2 КБ

Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 24) лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством РФ, а именно: гражданско-правовую, уголовную, административную, дисциплинарную и иную ответственность. Размер и характер санкций приведен в таблице ниже.

Обратите внимание! С 26 марта 2021 года вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», согласно которому штрафы за нарушение законодательства РФ в области персональных данных (ст.13.11) увеличили вдвое, за ряд положений установили штрафы за повторные нарушения и исключили меру административного наказания в виде предупреждения по некоторым пунктам. Например, если раньше максимальный штраф за обработку персональных данных без письменного согласия субъекта составлял 75 000 рублей, то теперь он составляет 150 000 рублей. А за повторное нарушение – 500 000 рублей. При этом штрафы за разные правонарушения могут суммироваться.

Также следует иметь в виду, что срок давности привлечения к административной ответственности за нарушение законодательства РФ в области персональных данных был увеличен с 3 месяцев до 1 года.

В таблице размер штрафов указан с учетом последних изменений .

Тип нарушения

Наказание

граждане

должностное лицо

ИП

юридическое лицо

Гражданско-правовая ответственность

Причинение лицу убытков в результате нарушения правил обработки его персональных данных (далее – ПДн).

Под убытками при этом понимаются:

Компенсация морального вреда (физические или нравственные страдания) независимо от возмещения имущественного вреда понесенных субъектом убытков.

Уголовная ответственность

Административная ответственность

Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации.

Штраф от 5 000 до 10 000 рублей.

Обработка данных в случаях, не предусмотренных законодательством.

Штраф от 2 000 до 6 000 рублей.

За повторное нарушение – от 4 000 до 12 000 рублей.

Штраф от 10 000 до 20 000 рублей.

За повторное нарушение – 20 000 до 50 000 рублей.

За повторное нарушение – штраф от 50 000 до
100 000 рублей.

Штраф от 60 000 до
100 000 рублей.

За повторное нарушение – от 100 000 до 300 000 рублей.

Обработка ПДн без письменного согласия субъекта

Штраф от 6 000 до 10 000 рублей.

За повторное нарушение – от 10 000 до 20 000 рублей.

Штраф от 20 000 до 40 000 рублей.

За повторное нарушение – от 40 000 до 100 000 рублей.

За повторное нарушение – штраф от 10 000 до
20 000 рублей.

Штраф от 30 000 до
150 000 рублей.

За повторное нарушение – от 300 000 до 500 000 рублей.

Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн.

Штраф от 1 500 до 3 000 рублей.

Штраф от 6 000 до 12 000 рублей.

Штраф от 10 000 до 20 000 рублей.

Штраф от 30 000 до
60 000 рублей.

Штраф от 2 000 до
4 000 рублей.

За повторное нарушение – от 20 000 до 30 000 рублей.

Штраф от 8 000 до
20 000 рублей.

За повторное нарушение – от 30 000 до 50 000 рублей.

Штраф от 20 000 до 40 000 рублей.

За повторное нарушение – от 50 000 до 100 000 рублей.

Штраф от 50 000 до
90 000 рублей.

За повторное нарушение – от 300 000 до 500 000 рублей.

Невыполнение при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ.

Невыполнение оператором при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.

Штраф от 30 000 до 50 000 рублей.

За повторное нарушение – от 50 000 до 100 000 рублей.

Штраф от 100 000 до 200 000 рублей.

За повторное нарушение – от 500 000 до 800 000 рублей.

Как на юридических лиц.

Штраф от 1 000 000 до 6 000 000 рублей.

Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

Штраф от 5 000 до 10 000 рублей.

Штраф от 40 000 до 50 000 рублей или дисквалификация на срок до 3 лет.

Примечание. Адвокаты, совершившие административное правонарушение, предусмотренное настоящей статьей, несут административную ответственность как должностные лица.

Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль.

Штраф от 500 до 1 000 рублей.

Действия (бездействие), предусмотренные ч.1 ст. 19.4.1, повлекшие невозможность проведения или завершения проверки.

Повторное совершение административного правонарушения, предусмотренного ч.2 ст. 19.4.1.

Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль.

Штраф от 300 до 500 рублей.

Штраф от 1 000 до 2 000 рублей или дисквалификация на срок до 3 лет.

Штраф от 10 000 до 20 000 рублей.

Непредставление, несвоевременное представление или предоставление в неполном объеме/искаженном виде в государственный орган, осуществляющий государственный контроль (надзор), сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности.

Предупреждение или штраф от 100 до 300 рублей.

Штраф от 300 до 500 рублей.

Штраф от 3 000 до 5 000 рублей.

Дисциплинарная и материальная ответственность

Разглашение ПДн, ставших известными работнику в связи с исполнением им трудовых обязанностей.

В случае, если у Вас возникли вопросы, обратитесь в службу поддержки по всем доступным каналам связи: