Персональные данные: наказания за нарушение хранения, обработки и передачи

Защита персональных данных – обязанность каждой организации, которая собирает, обрабатывает хранит или передает личную информацию любого человека, то есть, является оператором персональных данных (ПДн). Несмотря на то, что эта обязанность закреплена законодательно, многие операторы допускают разглашение ПДн, что нарушает гражданские права человека и ведет к судебным разбирательствам.

Причин нарушения может быть много: незнание законов или их игнорирование, халатное отношение к работе, желание заработать на продаже данных, несоблюдение мер защиты информации и пр. Для качественной работы в рамках правового поля, оператор должен знать, какую информацию ему необходимо защищать и что ему грозит в случае нарушения установленных норм.

Персональные данные — это набор сведений, относящийся прямо или косвенно к определенному или определяемому физическому лицу. То есть, персональными данными можно считать любую информацию о человеке, которая поможет его идентифицировать.

• ФИО;
• дата и место рождения;
• адрес проживания;
• образование;
• место работы;
• семейное положение;
• биометрические данные.

• номер телефона;
• размер одежды или обуви;
• электронная почта;
• фото;
• данные о пересечении границы;
• прочая информация.

Источниками персональных данных являются паспорт (гражданский и заграничный), документы об образовании, трудовая книжка, справки о доходах, анкеты, заполняемые для работодателя или продавца и другие документы.

Будут данные считаться персональными или нет также зависит от ситуации, при которой они были получены, с какой целью обработаны, есть ли какие-либо дополнения. Поэтому в каких-то случаях информация будет относиться к персональным данным, а в каких-то – нет.

На страже персональных данных граждан России стоит Федеральный закон №152 от 27 июля 2006 года «О персональных данных». ФЗ призван обеспечивать защиту прав и свобод человека и гражданина при обработке его персональных данных. То есть, не допускать распространение личной информации о человеке без его согласия. В законе указаны принципы и условия обработки ПДн, права человека, чьи данные обрабатывают, обязанности организации-оператора ПДн, порядок контроля за процедурой обработки информации и ответственность за нарушение закона.

Ответственность оператора прописана в:

• кодексе об административных правонарушениях;
• уголовном кодексе;
• гражданском кодексе;
• трудовом кодексе.

Если нарушение произошло, организация, которая является оператором ПДн и имеет право собирать данные человека, обрабатывать или передавать их, может понести не только материальное наказание, но и стать фигурантом уголовного дела. Нарушители могут подвергнуться дисциплинарной, административной, гражданской или уголовной ответственности.

Согласно подпункту «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ сотрудник, который, пользуясь служебным положением, придал огласке персональные данные коллег, подлежит увольнению. Если же были допущены другие нарушения в области обработки ПДн, работник получает замечание или выговор (статьи 90 и 192 ТК РФ).

Если в результате нарушения правил обработки персональных данных человек, чьи данные обрабатывались, понес убытки, статья 15 Гражданского кодекса РФ обязывает оператора их возместить. В ситуациях, когда нарушение правил обработки ПДн привело к причинению морального вреда, оператор обязан его компенсировать. Это регулируется статьей 24 закона «О персональных данных» и статьей 151 ГК РФ.

Согласно статье 5.39 КоАП РФ должностные лица получают штраф в размере от 5 тыс. рублей до 10 тыс. рублей за отказ или несвоевременное предоставление информации, передача которой предусмотрено законом, а также за предоставление заведомо ложной информации. Предупреждением или административным штрафом в размере от 1 тыс. рублей до 3 тыс. рублей для физлиц, от 5 тыс. рублей до 10 тыс. рублей для должностных лиц и от 30 тыс. рублей до 50 тыс. рублей для юридических лиц карается обработка ПДн в случаях, не предусмотренных законом или несовместимых с целями их сбора. Норма регулируется частью 1 статьи 13.11 КоАП РФ.

Если обработка персональных данных осуществлялась без письменного согласия человека, которое было необходимо, либо данные обрабатывались с нарушением требований часть 2 статьи 13.11 КоАП РФ обязывает физических лиц заплатить от 3 тыс. рублей до 5 тыс. рублей, должностных лиц от 10 тыс. рублей до 20 тыс. рублей, юрлиц – от 15 тыс. рублей до 75 тыс. рублей.

Предупреждением или административным штрафом в размере от 1 тыс. рублей до 2 тыс. рублей для физлиц, от 4 тыс. рублей до 6 тыс. рублей для должностных лиц, от 10 тыс. рублей до 15 тыс. рублей для ИП, от 20 тыс. рублей до 40 тыс. рублей для юридических лиц будет наказан оператор, не предоставивший человеку информацию, касающуюся обработки его ПДн. Это прописано в части 4 статьи 13.11 КоАП РФ.

В случае, если оператор в установленные сроки по требованию гражданина, его представителя или Роскомнадзора не уничтожил персональные данные, согласно части 5 статьи 13.11 КоАП РФ ему грозит административный штраф в размере от 1 тыс. рублей до 2 тыс. рублей для физлиц, от 4 тыс. рублей до 10 тыс. рублей для должностных лиц, от 10 тыс. рублей до 20 тыс. рублей для ИП, от 25 тыс. рублей до 45 тыс. рублей для юридических лиц или предупреждение.

Административный штраф в размере от 700 рублей до 2 тыс. рублей для физлиц, от 4 тыс. рублей до 10 тыс. рублей для должностных лиц, от 10 тыс. рублей до 20 тыс. рублей для ИП, от 25 тыс. рублей до 45 тыс. рублей для юридических лиц грозит оператору за необеспечение сохранности персональных данных, в результате чего они были уничтожены, изменены, заблокированы, скопированы или распространены. Это указано в части 6 статьи 13.11 КоАП РФ.

Государственный или муниципальный орган, который не обезличил персональные данные наказывается согласно части 7 статьи 13.11 КоАП РФ предупреждением или административным штрафом должностных лиц в размере от 3 тыс. рублей до 6 тыс. рублей. Если оператор не предоставил или предоставил с опозданием в госорган необходимые сведения, уменьшил или исказил их, то в соответствии со статьей 19.7 КоАП РФ должен будет заплатить административный штраф в размере от 100 рублей до 300 рублей для физлиц, от 300 рублей до 500 рублей для должностных лиц, от 3 тыс. рублей до 5 тыс. рублей для юридических лиц.

Незаконный сбор и распространение информации о частной жизни человека без его согласия карается согласно статье 137 Уголовного кодекса штрафом 200 тыс. рублей, либо обязательными работами на срок от 360 часов, либо исправительными работами на срок до года, либо принудительные работы на срок до двух лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет.

Если незаконный сбор и распространение информации о частной жизни человека без его согласия совершался с использованием служебного положения, виновный будет наказан штрафом от 100 тыс. рублей до 300 тыс., либо лишением права занимать определенные должности на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет. Определяет наказание статья 137 Уголовного кодекса.

В случае, если незаконно распространялась информация об уголовном деле, фигурантом которого является человек, не достигший 16 лет, или сведения о причинении ему нравственных или физических страданий, статья 137 Уголовного кодекса РФ предполагает наложение на оператора штрафа в размере от 100 тыс. рублей до 300 тыс. рублей, либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет, либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет.

За отказ должностного лица в предоставлении документов, затрагивающих права и свободы человека, или предоставление ему неполной и заведомо ложной информации,  повлекшей причинение вреда правам и интересам, следует штраф в размере до 200 тыс. рублей или лишение права занимать определенные должности на срок от двух до пяти лет. Это прописано в статье 140 УК РФ.

Штрафом до 200 тыс. рублей, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок облагается оператор, согласно статье 275 УК РФ.

О публикации ПДн на интернет-форуме.

В 2011 году Мещанский суд Москвы рассматривал дело между физическим лицом и администратором сайта, который в разделе «Форум» разместил персональные данные истца, включая фамилию, имя, дату рождения, место работы, должность, образование, домашний телефон (резюме). Истец утверждал, что согласия на размещение данных не давал, и попросил суд обязать ответчика уничтожить данные и компенсировать моральный вред и судебные расходы (включая стоимость услуг нотариуса, который составил протокол осмотра сайта). Суд удовлетворил требования истца частично: обязал ответчика «уничтожить персональные данные… и запретить их обработку и распространение в сети Интернет». Во взыскании компенсации морального ущерба истцу было отказано, поскольку факт причинения Истцу нравственных страданий, с точки зрения суда, последним не был доказан.

О закрытии газеты из-за разглашения ПДн.

Редакция кубанской газеты выпустила ряд материалов, которые содержали персональные данные несовершеннолетних жителей населенного пункта, включая фамилии, имена и сведения о школе, где они учились. Согласия на публикацию ПДн школьники и их представители не давали. Изданию было вынесено письменное предупреждение о недопустимости распространения через СМИ подобной информации, но главный редактор не отреагировала на замечание и продолжала публиковать личную информацию граждан без их согласия. Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилось в Краснодарский краевой суд с иском о прекращении деятельности газеты. По итогам заседания иск был удовлетворен и издание прекратило свое существование.

Доктор против ПроДокторов.

На стадии рассмотрения находится дело между врачом и ООО «МедРейтинг», публикующем на сайте «ПроДокторов» информацию о врачах и качестве предоставляемых ими услуг путем размещения отзывов о специалистах. Истец при обращении в суд отметила, что распространенная о ней информация плохо отражается на деловой репутации. Врач потребовала прекратить обработку персональных данных, удалить ее профиль и компенсировать моральный вред в размере 150 тыс. рублей и затраты на судебное производство. Дело было рассмотрено двумя инстанциями: первая оставила иск без удовлетворения, вторая аннулировала решение первого. На данный момент дело находится в апелляционном суде.

Больше материалов судебных разбирательств из-за нарушений сбора, хранения и обработки персональных данных можно найти на сайте информационной системы «Правосудие».