Не разглашать персональные данные

На работодателя возложено множество функций: от выполнения обязанностей налогового агента до ведения локального воинского учета. Это требует сбора, систематизации и хранения большого количества личной информации о сотрудниках. Чтобы гарантировать отсутствие утечек, российское законодательство предусматривает ответственность за разглашение персональных данных.

Состав личной информации

Сведения, носящие личный характер, определены в ст. 3 ФЗ «О персональных данных». Под ними подразумевается информация, которая относится к определенному гражданину. Более подробно о том, что относится к персональным данным, читайте . В рамках трудовых отношений речь идет о следующих данных:

• о полном имени сотрудника (ФИО);
• о реквизитах документов гражданина (ИНН, страховых свидетельств, паспортов и других);
• о наличии определенного образования;
• о размере получаемых доходов;
• о месте, в котором проживает работник;
• о членах семьи сотрудника;
• о дате и населенном пункте, в котором он родился.

Вся перечисленная информация не должна передаваться другим лицам без согласия работника на обработку его персональных данных.

Ответственность за распространение персональных данных

Правовые основы применения различных взысканий за несанкционированную передачу личной информации заложены в ст. 23 и 24 Конституции РФ. Она предусматривает право граждан на неприкосновенность частной жизни и запрет на работу с персональными данными без их согласия. Именно по этой причине его следует получать у соискателей работы и у действующих сотрудников. Понятие частной жизни детализировано в определении Конституционного суда РФ N 12-53-О от 28 июня 2012 года. Речь идет о сведениях, относящихся к отдельному гражданину, которые касаются исключительно его и не подлежат общественному или государственному контролю.

Другой базовой нормой, устанавливающей ответственность за разглашение персональных данных гражданина, является ст. 24 закона N ФЗ-152. На основании указанных правил нарушители подвергаются административным, дисциплинарным и уголовным наказаниям.

Привлечение к уголовной ответственности

Наиболее суровое наказание предусмотрено для случаев, когда распространение личной информации носит преступный характер. Уголовная ответственность за разглашение персональных данных устанавливается в ст. 137 УК РФ. Ч.1 устанавливает способы следующие совершения правонарушений:

• размещение информации о частной жизни в СМИ;
• разглашение сведений в произведении, которое демонстрируется другим лицам;
• любое иная публичная демонстрация персональных данных в ходе выступления.

Любой из указанных способов предполагает распространение сведений среди неограниченного круга лиц в нарушение закона.

Фактором, необходимым для инициирования уголовного преследования, является отсутствие согласия гражданина. Нарушителю грозит штраф до 200 тыс. рублей (альтернативой будет изъятие суммы, эквивалентной полуторагодовому доходу преступника). Другим наказанием служат обязательные работы (максимальный срок составляет 360 часов) или исправительные работы (до года) или принудительные работы (не более 2 лет). Нарушителя могут подвергнуть аресту на период 2 – 4 месяца или лишить свободы на срок до 2 лет. В ряде случаев существует риск дополнительного наказания в виде 3-летней дисквалификации. О других мерах уголовной ответственности за нарушение трудового законодательства узнавайте в статье https://otdelkadrov.online/5764-sluchai-nastupleniya-otvetstvennosti-za-narushenie-trudovogo-zakonodatelstva-dlya-rabotnika-rabotodatelya.

Обратите внимание: соблюдать тайну персональных данных работников обязаны все лица, которые имеют к ним доступ в связи с исполнением своих служебных обязанностей. То есть наказать за разглашение такой информации могут не только директора предприятия, но и сотрудника отдела кадров, бухгалтера, начальника отдела и т.д.

Преступник, использовавший свое служебное положение для сбора и распространения информации (руководитель компании или уполномоченный сотрудник кадровой службы), получит более суровое наказание (ч. 2 ст. 137 УК РФ):

• Штраф будет находиться в пределах 100 – 300 тыс. рублей или составлять доход нарушителя за период от 1 до 2 лет.
• Дисквалификация может применяться в качестве основного наказания и продолжаться от 2 до 5 лет.
• Максимальный период ареста составляет полгода.
• Принудительные работы могут назначаться на срок до 4 лет.
• Потенциальный период лишения свободы также составляет 4 года.

2 последних вида наказания могут дополняться 5-летней дисквалификацией.

Ч. 3 ст. 137 УК не касается отношений работодателя и персонала (в ней речь идет о распространении сведений о потерпевших, являющихся подростками).

Дополнительно Основным контролирующим ведомством по вопросам защиты персональных данных является Роскомнадзор РФ. Эта служба отвечает за организацию надзора за обработкой и защиту персональных данных граждан. С 1 июля 2017 года право возбуждать дела по админ нарушениям возлагается на должностных лиц Роскомнадзора (до этого времени таким правом обладал только прокурор).

Для ряда нарушителей предусматривается административная ответственность. Распространение персональных данных без согласия работника влечет наказание по 13.14 КоАП РФ. Эти правила применяются по остаточному принципу: речь идет только о случаях, не являющихся преступлениями. Если разглашение не носит публичный характер (связано с передачей сведений ограниченному числу получателей информации), то допустившее его лицо будет обязано уплатить штраф. Размер взыскания отличается в зависимости от статуса нарушителя:

• для граждан он находится в пределах 500 – 1000 рублей;
• должностным лицам, к которым приравниваются адвокаты, придется оплатить от 4 до 5 тыс. рублей.

Нововведения С 1 июля 2017 года ужесточают административную ответственность за неправомерное использование работодателями персональных данных работников. Федеральный закон № 13-ФЗ был принят 07.02. 2017 и вступит в силу 01.07. 2017 года. В частности, вместо одного вида появилось семь составов правонарушений. Кроме того, возросли административные штрафы. Все изменения описаны в новой редакции статьи 13.11 КоАП РФ.

Ответственность за разглашение персональных данных работника дополняется наказанием за нарушение порядка обращения с ними (ст. 13.11 КоАП РФ). Речь идет о соблюдении правил ст. 88 ТК РФ – работодатель обязан передавать информацию 3-м лицам только после письменного согласия сотрудника. Этими же правилами запрещена передача данных о работнике в коммерческих целях.

За такое нарушение возможно как получение предупреждения, так и взыскание штрафа. Для граждан он составит от 300 до 500 рублей, а должностным лицам придется уплатить 500 – 1000 рублей. Если к ответственности привлекается компания, штраф составит 5 – 10 тыс. рублей.

Контроль за соблюдением режима конфиденциальности позволит работодателю пресечь возможные нарушения и избежать риска привлечения к ответственности.

Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок.

В перечень персональных данных включается следующее:

1. Сведения о дате и месте рождения
2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
3. Уровень образования
4. Трудоустройство и стаж
5. Наличие / отсутствие судимости
6. Кредитные данные
7. Информация о родственниках
8. Место жительства (регистрации) лица
9. Переписка в любой ее форме
10. Состояние здоровья
11. Образ жизни и иные биографические данные
12. И так далее.

По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности. Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина. Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Что делать при незаконном разглашении персональных данных?

Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Последствия незаконного распространения персональных данных

Итогом нарушения любого из требований закона о персональных данных помимо денежной компенсации и возмещения возможных убытков является наличие публичной санкции в виде административного или уголовного наказания. При этом, ответственность возможна как за сбор, так и дальнейшую обработку, и распространение данных о личности.

Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.

Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.

Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц. Вид полученной переписки между гражданами не имеет значения. При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Образец жалобы на незаконное использование персональных данных

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

Звонки поступают со следующих номеров телефонов: …

Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

• провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных третьим лицам;
• привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Дата, подпись

Перед тем, как разбираться с ответственностью за разглашение персональных данных, необходимо определить, какая информация к ним относится. Понятие персональных данных содержится в Законе «О персональных данных» № 152, изданном в 2006 году. Под персональными данными понимаются любые сведения о человеке, позволяющие конкретно определить его личность. Это может быть, как личная информация, так и информация об имуществе гражданина.

Персональные данные в том числе включают в себя:

• ФИО;
• Адрес места жительства;
• Место работы и должность;
• Индивидуальные номера личных документов (например, идентификационный номер паспорта);
• Семейное положение;
• Информация о родственниках и близких;
• Сведения о владении конкретным имуществом и т.д.

Пояснение понятия разглашения персональных данных

Под разглашением понимается сообщение третьим лицам сведений, составляющих персональные данные человека. Информирование третьих лиц может происходить любым способом: в устной беседе, посредством электронной переписки и т.д.

Если разглашение происходит по просьбе или с ведома лица, чьи персональные данные сообщаются, то такие действия не грозят ответственностью. В случае же разглашения личных сведений без согласия гражданина, такие действия могут быть наказаны по закону.

Объём сведений, за разглашение которых можно привлечь лицо к ответственности определяется в каждом случае индивидуально. Так, например, суды наказывали граждан в соответствии со ст.137 УК за разглашение следующих сведений:

• ФИО, место жительства, год рождения, абонентский номер;
• Детализация телефонных звонков;
• Информация о передвижении автомобиля.

Ответственность

Наказание за разглашение зависит от способа и характера нарушения. Законодательство предусматривает три вида ответственности за такое деяние:

1. Дисциплинарная;
2. Административная;
3. Уголовная.

Дисциплинарная ответственность грозит сотруднику, который знает о некоторых персональных данных своих коллег в силу занимаемого положения (например, работает в кадровой службе), и допустил их разглашение. Данная ситуация регулируется статьями 81 и 90 ТК. Самая серьёзная мера дисциплинарного взыскания – это увольнение.

Важно! Зная номер СНИЛС, мошенники могут от лица пенсионера перевести деньги с государственного счета на счета НПФ (негосударственного пенсионного фонда), где они в лучшем случае будут просто копиться на других условиях. О том, как защитить свою пенсию — читайте тут https://lexconsult.online/8494-kak-moshenniki-ispolzuyut-snils

Административная ответственность наступает в случае разглашения или неправомерной работы с персональными данными в тех случаях, когда эти действия не подпадают под уголовную ответственность. В данном случае нарушителю грозит штраф за разглашение персональных данных (ст. 31.11 КоАП).

Уголовная ответственность в случае нарушения неприкосновенности частной жизни наступает по ст.137 УК.

Случаи привлечения к уголовной ответственности

Обратите внимание Вторжение в личную жизнь также относится к преступленим против личных прав человека. Разделяют три вида — вторжение в личные дела, присвоение имени или внешности и распространение сведений о частной жизни. Подробнее можно узнать на нашем сайте в этой статье

Для того чтобы привлечь лицо к ответственности по ст.137 УК необходимо одновременное выполнение двух условий:

1. Сбор или распространение сведений производились незаконно;
2. Отсутствует согласие лица на сбор или распространение такой информации.

Для привлечения к уголовной ответственности не нужно ждать наступления каких-то неблагоприятных последствий, преступление считается оконченным, как только нарушитель незаконно завладел информацией. Например, хакер, который взломал сайт телефонной компании и получил доступ к телефонным номерам и другим личным данным абонентов уже может быть привлечён к уголовной ответственности независимо от того, как он будет использовать эти сведения.

Наказание за такие действия предусмотрено ч.1 ст.137:

1. Штраф до 200 000;
2. Обязательные работы;
3. Исправительные работы;
4. Принудительные работы;
5. Арест до 4 месяцев;
6. Тюремное заключение до 2 лет.

Статья о разглашении личных данных также позволяет суду назначить в дополнение к любому из перечисленных наказаний запрет на занятие определённым видом деятельности до 3 лет.

Часть 2 ст.137 УК РФ

В том случае, если действия по сбору и разглашению личных данных производились лицом, используя своё служебное положение, ответственность наступает по ч.2 ст.137. Судебная практика показывает, что незаконные сбор и разглашение персональных данных совершаются именно должностными лицами. Это могут быть:

• сотрудники телефонных компаний, предоставляющие коммерческим организациям сведения об абонентах или просто сообщающие информацию о проведённых конкретным лицом звонках своим друзьям;
• работники отдела кадров, где как правило хранятся основные документы, содержащие личные данные всех сотрудников компании, и т.д.

Следует отметить, что Уголовный Кодекс содержит отдельные статьи для разглашения тайны усыновления или врачебной тайны. В таком случае должностные лица (врачи, судьи, медсёстры и т.д.) будут отвечать не по ч.2 ст.137, а по конкретным статьям, квалифицирующим их действия.

Об ответственности за нарушение врачебной тайны читайте здесь https://lexconsult.online/6340-ponyatie-vrachebnoi-tainy-nakazanie-za-ee-narushenie

Часть 2 статьи 137 за разглашение данных предусматривает следующие наказания:

• штраф до 300 000;
• невозможность заниматься определённой работой в течение 5 лет (может быть назначено как основное и как дополнительное наказание);
• принудительные работы до 4 лет;
• арест до полугода;
• тюремное заключение до 4 лет.

Часть 3 ст.137 УК РФ

Часть 3 отличается от предыдущих частей более конкретной диспозицией. В соответствии с ней преступлением является разглашение данных о личности несовершеннолетнего (младше 16 лет) потерпевшего по уголовному делу либо о его травмах и нравственных страданиях, причинённых в результате преступления.

При этом разглашение должно иметь публичный характер:

Знаете ли Вы Уголовная ответственность за разглашение коммерческой тайны подразумевает штрафы в пределах 500 000 — 1 500 000 рублей,
исправительные или принудительные работы или лишение свободы на срок от 3 до 7 лет.

• публикация в СМИ;
• публичное выступление;
• видеозапись в СМИ;
• произведение, которое демонстрируется публично.

Для ответственности по ч.3 ст.137 также необходимо наступление тяжких последствий для несовершеннолетнего, которые могут выражаться, например, в психическом расстройстве или причинении вреда здоровью.

Наказание по ч.3 ст.137:

• штраф до 300 000;
• невозможность заниматься определённой работой в течение 5 лет (может быть назначено как основное и как дополнительное наказание);
• принудительные работы до 5 лет;
• арест до полгода;
• тюремное заключение до 5 лет.

Куда идти с иском

Михаил Возин* подал заявление в управление Роскомнадзора по ДФО. Он указал, что в интернете без его разрешения компания с Багамских островов Whois Privacy Corp. распространяла его персональные данные. Роскомнадзор от его имени направил заявление в суд. Ведомство потребовало защитить права Возина как субъекта персональных данных и ограничить доступ к информации о нем.

В Центральном районном суде Хабаровска, куда было направлено исковое заявление, отказались его принять. Там решили, что требования заявителя по своей природе административные и не должны рассматриваться в порядке гражданского судопроизводства. В апелляции согласились с такой позицией и указали, что претензии Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы первой инстанции о рассмотрении спора в административном порядке верны.

Судебная коллегия по гражданским делам Верховного суда под председательством судьи Асташова указала на ошибку нижестоящих коллег.

Коллегия напомнила, что Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных (в том числе неопределенного круга лиц – п. 5 ч. 3 ст. 23 закона «О персональных данных») и представлять их в суде. При этом по ч. 6 ст. 26 ГПК иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца, указал ВС.

Заявление следовало рассмотреть в порядке гражданского судопроизводства, сказано в определении по делу (дело № 58-КГ20-2)

Сложности глазами эксперта

Алгоритм подачи иска о защите персональных данных обладает некоторыми характерными особенностями, отмечает Ксения Созина, юрист S&K Вертикаль S&K Вертикаль Федеральный рейтинг группа Управление частным капиталом группа Арбитражное судопроизводство (крупные споры — high market) группа Банкротство группа Семейное/Наследственное право группа Корпоративное право/Слияния и поглощения 8 место По выручке на юриста (Больше 30 Юристов) 20 место По выручке 26-28 место По количеству юристов Профайл компании × . Истцом в спорах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. В отдельных случаях предъявить в суд соответствующий иск может Роскомнадзор в силу полномочий, указанных в ч. 1 ст. 23 Закона № 152-ФЗ, в защиту прав субъекта персональных данных – гражданина, как это было в попавшем в ВС деле.

Ответчиком в спорах данной категории является оператор персональных данных или другое лицо, получившее доступ к персональным данным истца. «Встречное исковое требование по рассматриваемой категории споров обычно не заявляется. Кроме того, по спорам этой категории не предусмотрен обязательный досудебный претензионный порядок их разрешения. Однако зачастую до обращения в суд будущий истец направляет будущему ответчику требование прекратить обработку персональных данных, удалить данные, а в случае неполучения ответа на подобные запросы лицо обращается за защитой своих прав в суд», – рассказывает Созина.

Так, в деле № 2-2794/18 истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей, но в удовлетворении претензии ему было отказано, после чего последовало обращение в суд. Такие дела рассматриваются в качестве суда первой инстанции районным судом (ст. 24 ГПК), поясняет юрист.

По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации – в суд по ее адресу (ст. 28 ГПК).

При этом иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться и в суд по месту жительства истца (ч. 6.1 ст. 29 ГПК).

Если истец обосновывает свои требования нормами закона о защите прав потребителей, то иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации. А если ответчиком является индивидуальный предприниматель – по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора (ч. 7, 10 ст. 29 ГПК, п. 2 ст. 17 закона «О защите прав потребителей»).

Законодательство Согласие на обработку персональных данных предлагают сделать многоцелевым

Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК (например, апелляционное определение Московского городского суда от 02.08.2019 по делу № 33-35187/2019).

Случаи административного производства – это скорее исключение при наличии определенных обстоятельств.

«Несмотря на довольно специфический предмет требований и зачастую сложную конструкцию состава, в рамках исков о защите персональных данных экспертизы назначаются судом в исключительных случаях. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите в указанном порядке, а это означает, что именно через призму судебного усмотрения формируется подход к защите персональных данных», – обращает внимание на важную деталь юрист юркомпании «S&K Вертикаль».

* – имена и фамилии участников спора изменены редакцией.

Работодатель, обрабатывая персональные данные работников, должен обеспечить их защиту. Это вытекает из положений п. 7 ст. 86 ТК РФ, в соответствии с которой защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств и в порядке, установленном ТК РФ и иными федеральными законами. Подробно данный вопрос мы рассматривали в прошлом номере Kadrovik.ru.

Одним из способов подобной защиты является увольнение за разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе за разглашение персональных данных другого работника. Право работодателя прекратить трудовой договор с таким работником предусмотрено подп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса Российской Федерации.

В соответствии с подп. «в» п. 6 ч. 1 ст. 81 ТК РФ в случае разглашения работником охраняемой законом тайны, ставшей известной ему в связи с исполнением трудовых обязанностей, в том числе разглашения персональных данных другого работника, работодатель имеет право расторгнуть с ним трудовой договор.

При применении данной нормы на практике могут возникнуть вопросы, ответы на которые мы попытаемся дать в настоящей статье.

Какие лица могут быть уволены по данному основанию?

Закон указывает, что субъектами ответственности в этом случае должны быть лица, которым в связи с исполнением трудовых обязанностей стали известны персональные данные других работников. Прежде всего, это те, кто работает в службах персонала или отделах кадров, т.е. в чьи обязанности входит оформление трудовых отношений, издание приказов по личному составу, ведение трудовых книжек и пр. Иными словами, это лица, которые получают персональные данные от работников при приеме последних на работу, внесении сведений в трудовые договоры, личные карточки по форме Т-2, устанавливают системы грейдов по оплате труда, схемы мотивации персонала и пр.

Далее этот список пополняют сотрудники бухгалтерий или финансовых служб, получающих доступ к сведениям о заработной плате работников, о членах их семьи (для целей налогообложения), а также лица, перечисленные в Положении о персональных данных, в том числе работники службы безопасности, секретари, получающие персональные данные других работников, чтобы бронировать билеты и гостиницы при направлении работников в служебные командировки, работники, связанные с использованием информационных технологий и пр.

Данный перечень, безусловно, не полон. В каждом конкретном случае при привлечении работника к ответственности следует помнить, что он должен был получить доступ к персональным данным другого работника в связи с исполнением им трудовых обязанностей. Это означает, что право получения таких данных следует закрепить в должностной инструкции работника или локальном нормативном акте, принятом работодателем в установленном законом порядке.

Непредставление работником объяснения не является препятствием для наложения дисциплинарного взыскания

Иное решение привело бы к возможности уволить работника «за передачу слухов», что, конечно, противоречило бы требованиям ТК РФ.

В каком порядке увольнять?

Рассматриваемое основание увольнения относится к категории увольнений за нарушение трудовой дисциплины. Соответственно увольнение работника, разгласившего персональные данные, должно быть произведено в порядке, предусмотренном ст. 193 ТК РФ.

До применения дисциплинарного взыскания работодатель должен затребовать от работника письменное объяснение.

Практика показывает, что требовать объяснений от работника лучше всего в письменной форме, выдав ему запрос, в котором будет указано, какие конкретно действия совершены работником (или отсутствие каких действий повлекло разглашение сведений, составляющих персональные данные других работников), дату запроса и срок представления объяснения (приложения 1–4)..

Закон дает работнику два рабочих дня на представление объяснения. Если по истечении двух рабочих дней объяснение не представлено, то составляется соответствующий акт.

Нередко работник сразу при получении такого запроса отказывается объяснять причины совершенного им проступка. В этом случае акт можно составить, не откладывая. Тем не менее по истечении двух дней работодатель вновь должен попытаться получить у работника объяснение и повторно составить акт. Наличие двух актов позволит доказать, что работодатель предлагал работнику необходимые два дня на получение объяснения и тем самым полностью исполнил требования закона.

Непредставление работником объяснения не является препятствием для наложения дисциплинарного взыскания.

Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников.

При этом следует иметь в виду, что:

а) месячный срок для наложения дисциплинарного взыскания необходимо исчислять со дня обнаружения проступка;

б) днем обнаружения проступка, с которого начинается течение месячного срока, считается день, когда лицу, которому по работе (службе) подчинен работник, стало известно о совершении проступка независимо от того, наделено ли оно правом наложения дисциплинарных взысканий;

в) в месячный срок для применения дисциплинарного взыскания не засчитывается время болезни работника, пребывания его в отпуске, а также время, необходимое для соблюдения процедуры учета мнения представительного органа работников (ч. 3 ст. 193 ТК РФ); отсутствие работника на работе по иным основаниям, в том числе и в связи с использованием дней отдыха (отгулов) независимо от их продолжительности (например, при вахтовом методе организации работ), не прерывает течение указанного срока;

г) к отпуску, прерывающему течение месячного срока, следует относить все отпуска, предоставляемые работодателем в соответствии с действующим законодательством, в том числе ежегодные (основные и дополнительные), в связи с обучением в учебных заведениях и отпуска без сохранения заработной платы.

Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки – позднее двух лет со дня его совершения. В указанные сроки не включается время производства по уголовному делу.

За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

Приказ (распоряжение) работодателя о применении дисциплинарного взыскания объявляется работнику под роспись в течение трех рабочих дней со дня его издания, не считая времени отсутствия работника на работе. Если работник отказывается ознакомиться с указанным приказом (распоряжением) под роспись, то составляется соответствующий акт.

В приказе о прекращении трудового договора по форме № Т-8 даются ссылки на все документы, которые устанавливают факт разглашения работником персональных данных, а также подтверждают его вину в совершении данного проступка. Кроме того, если объяснения работника не отражены в этих документах, то в приказе о прекращении трудового договора приводятся реквизиты объяснительной записки или иного документа.

Согласно ч. 5 ст. 192 ТК РФ при наложении дисциплинарного взыскания должны учитываться тяжесть совершенного проступка и обстоятельства, при которых он был совершен.

При привлечении работника к дисциплинарной ответственности работодателю следует исходить из общих принципов юридической, а следовательно, и дисциплинарной ответственности, таких как справедливость, равенство, соразмерность, законность, вина, гуманизм.

В этих целях работодателю необходимо представить доказательства, свидетельствующие не только о том, что работник совершил дисциплинарный проступок, но и о том, что при наложении взыскания учитывались тяжесть этого проступка, обстоятельства, при которых он был совершен, предшествующее поведение работника, его отношение к труду. Пленум Верховного Суда РФ в этих целях в п. 53 постановления Пленума ВС РФ от 17.03.2004 № 2 также указывает на необходимость представления доказательств, свидетельствующих не только о том, что работник совершил дисциплинарный проступок, но и о том, что при наложении взыскания учитывались тяжесть этого проступка, обстоятельства, при которых он был совершен, предшествующее поведение работника, его отношение к труду.

За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание

Какие доказательства должен представить работодатель?

В случае оспаривания работником увольнения по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства того, что:

1) сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника;

2) эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей;

3) работник извещен о том, что данные сведения составляют персональные данные другого работника;

4) работник обязывался не разглашать такие сведения.

Каковы наиболее типичные случаи разглашения персональных данных?

На практике одной из наиболее часто встречающихся ситуаций следует признать передачу персональных данных работника банкам, в которых работники стремятся получить кредит. Каждый работник должен знать, что в соответствии со ст. 62 ТК РФ по его письменному заявлению работодатель обязан не позднее трех рабочих дней со дня подачи этого заявления выдать работнику копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и выдаваться работнику безвозмездно.

Таким образом, любой работник при обращении в кредитную организацию может запросить у работодателя все необходимые сведения. В свою очередь, банки могут направлять письменные запросы в организации. При этом ответ на запрос может быть дан только с письменного согласия работника.

Нередки случаи, когда работник службы персонала разглашает персональные данные других работников, предлагая работнику, увольняемому по п. 2 или 3 части 1 статьи 81 ТК РФ вакантные должности.

Так, И. по итогам аттестации была признана не соответствующей занимаемой должности редактора. Соблюдая ее права, работник службы персонала ознакомил И. со штатной расстановкой, чтобы она могла дать согласие на перевод на другую работу в соответствии со своей квалификацией. При этом копия штатного расписания со штатной расстановкой были выданы И. на руки для ознакомления. В связи с этим И. не только увидела, какие должности она могла бы занять, но и подробно ознакомилась с размером заработной платы, надбавок и иных выплат, производимых в организации иным сотрудникам.

Безусловно, это грубое нарушение, и за него на сотрудника службы персонала должно быть наложено соответствующее дисциплинарное взыскание.

Нередки случаи, когда на сайте работодателя одновременно с поздравлением размещается информация о годе рождения работника. Если работник не давал согласия на размещение вышеуказанных данных, такое поздравление также будет считаться незаконным разглашением персональных данных.

В каком случае передача персональных данных без согласия работника не будет являться их разглашением?

Статья 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» определяет, что субъект персональных данных принимает решение о представлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Исключением являются случаи, предусмотренные указанным Федеральным законом и другими федеральными законами, когда представление субъектом своих персональных данных обязательно в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Так, в соответствии с законодательством Российской Федерации организации обязаны представлять документированную информацию, в частности, органам государственной власти, следственным, судебным, налоговым, статистическим и другим органам. Порядок обязательного представления (получения) конфиденциальной информации о персональных данных граждан устанавливается в соответствии с законодательством об этой категории информации. Например, Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» устанавливает, что работодатели представляют в органы Пенсионного фонда РФ сведения о работающих у них застрахованных лицах и сведения об уплачиваемых страховых взносах на основании данных бухгалтерского учета, а сведения о страховом стаже – на основании приказов и других документов по учету кадров. Работодатель имеет право дополнять и уточнять переданные им сведения о застрахованных лицах по согласованию с соответствующим органом Пенсионного фонда РФ. На работодателя возложена обязанность контролировать соответствие реквизитов страхового свидетельства обязательного пенсионного страхования, выданного застрахованному лицу, реквизитам документов, удостоверяющих личность указанного лица, работающего у него по трудовому договору или заключившего договор гражданскоправового характера, на вознаграждение по которому в соответствии с законодательством Российской Федерации начисляются страховые взносы.

Работодатели, в соответствии с Федеральным законом от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» осуществляющие прием на работу граждан, подлежащих обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, обязаны собирать и представлять Фонду социального страхования РФ в установленные Фондом сроки документы (их заверенные копии), являющиеся основанием для начисления и уплаты страховых взносов, назначения обеспечения по страхованию, и иные сведения, необходимые для осуществления обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.

В соответствии с Федеральным законом от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе», Положением о воинском учете, утв. постановлением Правительства РФ от 27.11.2006 № 719, Положением о военных комиссариатах, утв. Указом Президента РФ от 01.09.2007 № 1132, воинский учет граждан ведется военными комиссариатами; в населенных пунктах, где нет военных комиссариатов, первичный воинский учет ведут органы местного самоуправления. Организации также ведут воинский учет работающих, обучающихся граждан, пребывающих в запасе или подлежащих призыву на военную службу.

Воинский учет граждан, подлежащих призыву, осуществляется органами местного самоуправления по документам первичного воинского учета, в частности по учетным карточкам призывников, а организациями – по утвержденной Федеральной службой государственной статистики личной карточке установленной формы, содержащей сведения о воинском учете. Органы местного самоуправления обязаны: производить постановку на учет граждан, подлежащих призыву, которые прибывают на их территорию на постоянное место жительства или место временного пребывания (на срок свыше трех месяцев); сверять не реже одного раза в год документы первичного учета с соответствующими документами военкоматов, организаций, а также с карточками регистрации или домовыми книгами; сообщать в двухнедельный срок в военный комиссариат обо всех изменениях в документах.

Обязанности по ведению воинского учета граждан, работающих в организациях (обучающихся в образовательных учреждениях), возложены на работодателей, которые должны: проверять при приеме на работу документы об отношении к военной службе, обеспечивать полноту и качество воинского учета; сверять не реже одного раза в год имеющиеся сведения о воинском учете с документами военных комиссариатов и органов местного самоуправления.

Собирание информации, составляющей персональные данные работников, предусматривается, в частности, Уголовнопроцессуальным кодексом Российской Федерации, Законом РФ от 18.04.1991 № 1026-1 «О милиции», Федеральным законом от 03.04.1995 № 40-ФЗ «О федеральной службе безопасности», Федеральным законом от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности».

Приложение 1
Пример оформления акта о разглашении работником персональных данных другого работника

Приложение 2
Пример оформления объяснительной записки о разглашении персональных данных другого работника

Приложение 3
Пример оформления докладной записки о разглашении персональных данных другого работника

Приложение 4
Пример внесения записи в трудовую книжку работника об увольнении по подп. «в» п. 6 части первой ст. 81 ТК РФ

Татьяна Коршунова, канд. юрид. наук, доцент, ведущий научный сотрудник Института законодательства и сравнительного правоведения при Правительстве РФ, Москва
Источник: КАДРОВИК.РУ