Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Разглашение конфиденциальной информации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Далеко не всегда работодатель может привлечь к ответственности работника того, которого подозревает в распространении информации с ограниченным доступом. Для этого он должен соблюсти ряд формальностей и строго следовать установленному законодательством процессуальному порядку поиска виновных.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Каким образом возможно законное использование персональных данных?
Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.
В соответствующем соглашение на персональные данные должно быть отмечено:
- Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
- Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
- Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
- Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
- Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.
Как назначается наказание за разглашение конфиденциальной информации?
От того, под действие какого законодательного акта попадает правонарушение, зависит степень ответственности правонарушителя. Проще говоря, то, как именно будет наказано лицо, разгласившее информацию с ограниченным доступом, определяет:
- тяжесть преступления;
- масштаб последствий;
- наличие или отсутствие злого умысла.
Рассмотрим несколько примеров.
Если работник предприятия сообщает постороннему лицу о разработке нового продукта, работодатель имеет право привлечь его к ответственности:
- вменить дисциплинарное взыскание (объявить выговор, лишить премии);
- уволить сотрудника, нарушившего соглашение о неразглашении конфиденциальной информации;
- в судебном порядке потребовать выплату денежной компенсации за репутационные или финансовые потери;
- инициировать возбуждение уголовного дела.
Как инициировать расследование?
Чтобы доказать вину сотрудника и наказать его, работодателю нужна доказательная база. Ею может быть:
- зафиксированный на видеозаписи факт разглашения либо совершения действий, ведущих к разглашению данных (запись с камеры видеонаблюдения, на которой отчетливо видно, что работник оставляет важные документы в открытом доступе, фотографирует их, делает ксерокопии, передает третьим лицам);
- зафиксированный службой безопасности предприятия факт пересылки рабочей информации с корпоративной электронной почты на личный почтовый ящик;
- обнаруженные начальством или персоналом предприятия ксерокопии важных документов, сделанные без разрешения;
- устные и письменные свидетельские показания свидетелей правонарушения.
Пострадавшая сторона может руководствоваться и косвенными доказательствами. Например, если становится известен факт использования третьими лицами информации для служебного пользования.
Используя доказательную базу, виновного можно наказать по всей строгости закона. При этом сам работодатель может только вменить дисциплинарное взыскание. Административная, уголовная или гражданская ответственность назначается в судебном порядке. Чтобы начать судебные прения, работодателю необходимо подать иск в суд. К исковому заявлению обязательно прикрепляются документы, относящиеся к доказательной базе.
Обычно пакет документации включает:
- исковое заявление;
- письменные показания свидетелей правонарушения;
- иные доказательства (видеоматериалы, распечатки переписок и т.д.);
- договоры с пунктами о неразглашении или отдельно составленное и подписанное нарушителем соглашение о неразглашении.
Чаще всего неосознанно передаются данные, под собой подразумевающие банковские сведения, изначально не предназначающиеся для огласки, что уже трактуются ч. 2 ст. 183 УК РФ «О незаконном разглашении сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца…». При получении кредита или, участвуя в каких-либо других финансовых сделках, необходимо согласие человека, чью кредитную историю планируется проверить. Иначе проверка данных не будет юридически правовой, и может создать угрозу интересам вкладчиков и кредиторов. Клиент банка не может, придя в соответствующий отдел или находясь на приеме у консультанта, «автоматически» давать согласие на систематизацию, сбор, распространение и передачу третьим лицам персональных данных. Для этого существует специальный документ – согласие, которое предоставляется на подпись, прежде чем отправить в базу какие-либо сведения клиента.
Что такое персональные данные
Четкое определение понятия персональных данных приведено в части первой статьи 3 Закона № 152 от 27.07.2006 года «О персональных данных». Это любая информация, прямо или косвенная относящаяся к физическому лицу.
Иными словами, персональными данными является абсолютно все – от имени человека до сведений, содержащихся в его трудовой книжке. Сюда же входят данные о доходах, семейном положении, адресе проживания и так далее.
При этом закон предусматривает градацию таких данных на общедоступные, то есть фамилия, имя, отчество, дата, год и место рождения, номер телефона и профессия, биометрические – физиологические особенности, и персональные данные, отнесенные к специальной категории – национальность, расовая принадлежность, вероисповедание, состояние здоровья и в последнее время еще и сексуальная ориентация и прочие сведения об интимной стороне жизни.
Если общедоступные персональные данные могут использоваться кем угодно по собственному усмотрению в рамках закона, а также общепринятых норм этики и морали, то биометрические – только в целях установления личности человека при отсутствии документов. Использование персональных данных специальной категории допускается исключительно с согласия их носителя.
Меры дисциплинарной ответственности
Дисциплинарная ответственность представляет собой особый вид наказания, который может быть применен работодателем по отношению к своим подчиненным. Если говорить о таком нарушении, как распространение личных сведений, данный вид ответственности может быть применен по отношению к виновному сотруднику. Например, очень часто речь идет о работниках отдела кадров. Как известно, именно они получают доступ к личным сведениям сотрудников. Им сдаются трудовые книжки новых подчиненных, копии их паспортов, ИНН и т.д. Следовательно, работник отдела кадров всегда должен надлежащим образом относиться к сохранению данной информации и не допускать ее распространения за пределы организации.
Если же вышеуказанное обязательство не было выполнено подчиненным, значит, у работодателя появится законное право на применение надлежащих мер ответственности. Положения трудового законодательства устанавливают лишь три разновидности:
- Замечание. Его можно назвать наименее строгой мерой. Очень часто оно применяется в том случае, если нарушение было совершено подчиненным в первый раз. В подобной ситуации с сотрудником может быть проведена подробная беседа для исключения повторения таких неприятных случаев в будущем.
- Выговор. Он является более серьезной мерой ответственности. Работодатель может выбрать ее в том случае, если за сотрудником подобное нарушение фиксируется уже во второй раз. Сведения о вынесении данной меры ответственности могут быть занесены в личное дело подчиненного.
- Увольнение. Именно эту меру ответственности можно назвать максимально серьезным дисциплинарным наказанием со стороны работодателя. Она выражается в принятии директором одностороннего решения относительно увольнения подчиненного. Оно может быть принято только при наличии у директора всех неоспоримых доказательств вины конкретного служащего.
Пояснение понятия разглашения персональных данных
Под разглашением понимается сообщение третьим лицам сведений, составляющих персональные данные человека. Информирование третьих лиц может происходить любым способом: в устной беседе, посредством электронной переписки и т.д.
Если разглашение происходит по просьбе или с ведома лица, чьи персональные данные сообщаются, то такие действия не грозят ответственностью. В случае же разглашения личных сведений без согласия гражданина, такие действия могут быть наказаны по закону.
Объём сведений, за разглашение которых можно привлечь лицо к ответственности определяется в каждом случае индивидуально. Так, например, суды наказывали граждан в соответствии со ст.137 УК за разглашение следующих сведений:
- ФИО, место жительства, год рождения, абонентский номер;
- Детализация телефонных звонков;
- Информация о передвижении автомобиля.
Ответственность за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. «Виды ответственности за нарушение закона о персональных данных»
Вид ответственности
Нарушение
Санкция
Норма
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.
Куда жаловаться на нарушение закона о персональных данных
Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?
Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.
Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.
Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.