Персональные данные

Содержание

Информация о гражданах, которая дает возможность их идентифицировать называется персональной. Существуют общедоступные источники персональных данных граждан и базы данных. Их доступность не означает, что ими можно пользоваться без согласия владельца. Персональные данные (ПД) защищены законодательно и имеют ограниченный доступ, если на это нет разрешения владельца. В этой статье наши эксперты расскажут об ответственности за разглашение персональных данных, статье 137 УК РФ и особенностях предусмотренного наказания.

О разновидностях персональных данных

Личные данные относятся к информации, к которой ограничен доступ. Они должны быть защищены от огласки, как того требует закон.

Существует 4 категории ПД по степени безопасности:

  1. Общие – несут основную информацию: ФИО, паспортные данные, образование, ИНН, семейное положение, контактные данные, доход, занятость и др. Они заполняются со слов гражданина или на основании документов.
  2. Биометрические – группа крови, рост, вес, другие физиологические параметры. Эта информация необходима для прохождения медицинского обследования или лечения.
  3. Специальные – расовая принадлежность, религиозные взгляды, психологическое здоровье, Эти сведения требуются при трудоустройстве, при участии в общественной или политической деятельности.
  • Общедоступные – данные, которые не скрываются, общедоступны, их юридическое определение – обезличенные. Особенность обезличенных сведений заключается в том, что они не принадлежат конкретному человеку.
  • В 1997 г. вышел Указ Президента РФ, в котором сведения о частной жизни граждан отнесены к категории конфиденциальных, то есть ответственность за разглашение персональных данных регулируется УК РФ. В ст. 137 регламентируется правовая защита информации о гражданах, доступ к ПД которых нарушен посторонними лицами. В статье реализуется неприкосновенность частной жизни людей. К понятию частной жизни закон относит информацию:

    • О самом субъекте, о месте его проживания.
    • О родственниках.
    • О вкладах и счетах в банках, об усыновленных детях, содержании письменной и электронной переписки и телефонных разговоров, факты из личных документов. В эту категорию причисляются сведения о налогах, врачебная и адвокатская информация, тайна исповеди. Эта информация относится к области тайны, личного пространства гражданина, которое должно охраняться законом.

    Вторжение в эту область характеризуется как нарушение конституционных прав (ст. 23, 24). Тому, кто умышленно вторгается в сферу личной жизни человека, при этом делает сведения о человеке достоянием гласности, грозит уголовное преследование.

    Оператором для обработки ПД выступает муниципальное учреждение или юридическое лицо. Они должны иметь полномочия на обработку, использование, защиту личной информации от копирования или уничтожения.

    Какова ответственность за разглашение персональных данных гражданина РФ

    Каждый гражданин страны наделяется правом на то, что его персональная информация будет сохранена и защищена согласно Конституции РФ и защищена. Основной закон провозглашает, что сбор и распространение сведений о личной жизни человека являются противозаконными, нарушение этого принципа может грозить лишением свободы на срок до 6 лет.

    ПД концентрируются в разных базах данных, это зависит от категории информации:

    • В отделе кадров предприятий — о составе семьи, должности, заработной плате, суммах вознаграждения.
    • В налоговой инспекции – о доходах, о выплате налогов.
    • В банке – о суммах вкладов, кредитах.

    Вся информация, размещенная в базах данных инстанций, должна быть надежно защищена, ответственность за ее сохранность несут руководители согласно законодательству, в котором закреплен статус конфиденциальности личной информации. Должностные лица, имеющие доступ к ПД других граждан, не имеют права разглашать сведения, не получив на это согласие их обладателя.

    Ответственность подобные нарушение можно разделить на несколько видов:

    • Дисциплинарная – применяется на основании ТК. Максимальная мера наказания – увольнение (ст. 81). Минимальная — выговор, строгий выговор с лишением материального вознаграждения в виде премии.
    • Административная – наступает в соответствии с КоАП. Она предполагает наложение штрафа (ст. 13.11).
    • Уголовная – наступает случаях совершения правонарушений, которые впоследствии были квалифицированы по ст. 137 или ст. 272 УК РФ.

    Уголовная — разглашение персональных данных ст. 137 УК РФ. Нарушение неприкосновенности частной жизни квалифицируется как преступление. Понятие «частная жизнь» трактуется как информация о происхождении человека, месте проживания, семейных обстоятельствах. Определения частной жизни и персональных данных толкуются в законе как аналогичные. Уголовная наказание грозит в случае, когда действия должностного лица, которое получило доступ к данным и распространяло их, признаны судом умышленными.

    Открытость информации о человеке означает, что они не являются тайной за семью печатями, но пользоваться ими можно только с согласия владельца. Распространение их, незаконный сбор наказываются. Основным признаком уголовного преступления по данной статье является доказанный факт, что использовано служебное положение.

    Нарушение Ответственность Закон
    Ненадлежащий порядок сбора, хранения, использования, распространения ПД Штраф (руб.) для должностных лиц – 500 — 1000 руб., юридических лиц – 5000 — 10000 руб. КоАП
    Законодательство о труде Штраф (руб.) для должностных лиц – 500 — 5000 руб., юридических лиц – 30000 — 60000 руб. КоАП
    Несоблюдение правил хранения ПД, что повлекло материальный ущерб для работодателя Средний месячный заработок работника ТК ст. 238, 241
    Несоблюдение правил хранения ПД, что повлекло моральный ущерб для работника Возмещение вреда в денежной форме в размере, указанном в трудовом договоре ТК ст. 234, 235, 237
    Разглашение служебной тайны Материальная, дисциплинарная ответственность работника вплоть до расторжения трудового договора ТК ст.

    Порядок привлечения к ответственности за разглашение персональных данных гражданина

    192, 195, 243; ст. 81

    Неправомочный доступ к компьютерной информации, которая охраняется законом Уголовная ст. 272 УК РФ
    Неприкосновенность частной жизни Уголовная ст. 137 УК РФ

    Нововведения в законодательстве об ответственности за персональные сведения граждан

    В Государственной думе одобрен законопроект о дополнительных мерах по административной ответственности граждан, которые, имея доступ к личной информации, распространяют ее либо нарушают правила хранения.

    В настоящее время административная ответственность за ненадлежащее хранение личных сведений о гражданах регулируется КоАП. Максимальный размер штрафа, который предусмотрен кодексом, составляет 5 — 10 т. руб. для юридического лица. Физические лица обязаны заплатить 300 — 500 руб., а должностные — 500 — 1000 руб.

    В проекте нового закона предлагается проводить дифференциацию типов правонарушений в области разглашения ПД граждан и учитывать при этом моральный и физический ущерб, который был причинен личности. Законодатели предлагают:

    • Установить градацию нарушений законодательства в отношении персональных сведений граждан по степени тяжести ущерба для пострадавшего.
    • Увеличить размеры штрафов: для физических лиц – 5 т. руб, для должностных – 20 т. руб., для ИП – 20 т. руб., для юридических лиц – 75 т. руб.

    Рассмотрение дел о разглашении ПД носит заявительный характер. Это означает, что делу не будет дан ход, пока гражданин, пострадавший от того, что информация о нем стала достоянием большого круга людей, не напишет заявление в компетентные органы.

    Когда право на неразглашение ПД считается нарушенным?

    Разрешение на использование ПД действительно в том случае, когда обладатель дает согласие в письменном виде и ставит свою подпись. Гражданин может отозвать согласие в любой момент. При отсутствии согласия сбор и обработка данных прекращается.

    Ситуации, когда право на защиту ПД считается нарушенным:

    1. Управляющая компания вывесила перечень граждан, имеющих задолженность по квартплате или коммунальным услугам с указанием ФИО жильцов, адресов, сумм долга.
    2. Информация о долгах выложена на сайте УК.
    3. Незнакомцы звонят по телефону, называют хозяина по имени, проводят опросы.
    4. В СМИ выложена информация о гражданах в связи с событиями, участниками которых они являлись, но не оставляли никому своих ПД.

    Факты, когда субъект лично никому свои данные не передавал, но они появились в свободном доступе, означает утечку информации. Для гражданина есть повод обратиться в правоохранительные органы за защитой своих прав.

    Во избежание утечки информации о ПД от самого владельца необходимо быть внимательным при заполнении различных анкет и опросов, где требуются личные сведения, но нет упоминания о необходимости согласия на их обработку.

    Рассмотрение жалоб о нарушении прав по сохранению ПД осуществляет Роскомнадзор, прокуратура и суд.

    Уголовный кодекс Российской Федерации

    Статья 137. Нарушение неприкосновенности частной жизни

    1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации —
    (в ред. Федерального закона от 08.12.2003 N 162-ФЗ)
    наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
    (в ред. Федерального закона от 08.12.2003 N 162-ФЗ)
    2. Те же деяния, совершенные лицом с использованием своего служебного положения, —
    наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
    (в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

    Комментарий к статье 137 УК РФ.

    1. Конституция закрепляет право каждого гражданина на неприкосновенность частной жизни, личную и семейную тайну (ст. 23 и 24). Уголовно-правовой запрет посягательств на неприкосновенность частной жизни человека, его личные или семейные тайны является одной из гарантий этого права. Личную или семейную тайну составляют сведения, не подлежащие, по мнению лица, которого они касаются, оглашению. Личную и семейную тайну не могут составлять сведения, которые были ранее опубликованы либо оглашены иным способом.
    2. Нарушение неприкосновенности частной жизни, предусмотренное комментируемой статьей, может выражаться: а) в незаконном собирании сведений о частной жизни; б) незаконном их распространении; в) незаконном их распространении в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
    Понятия собирания и распространения сведений хорошо известны уголовному праву и толкуются обычно достаточно широко. Так, собирание сведений может осуществляться любым способом: тайно, открыто, с применением обмана или насилия и т.д. Оно может выражаться в похищении, приобретении, копировании документов или других материальных носителей конфиденциальной информации, в подслушивании, подсматривании, в проведении фото-, видео- или киносъемки, в опросе осведомленных лиц и пр. В комментируемой статье речь идет только о незаконном собирании и распространении сведений. Незаконность этих действий определяется, во-первых, отсутствием согласия со стороны потерпевшего (о чем прямо говорится в диспозиции статьи); во-вторых, совершением их лицом, не уполномоченным на собирание конфиденциальных сведений в данной ситуации; в-третьих, использованием при сборе информации средств и методов, запрещенных законом, например путем нарушения тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 138 УК) либо путем нарушения неприкосновенности жилища (ст. 139 УК). Незаконным следует считать также получение конфиденциальной информации с применением насилия, обмана, хищения официальных документов, дачи взятки должностным лицам и др.
    3. Закон не связывает ответственность за незаконное распространение сведений о частной жизни лица с конкретным способом распространения. Под распространением имеется в виду любая незаконная передача указанных сведений третьим лицам. Незаконным распространением является разглашение личной или семейной тайны лицом, обязанным ее хранить в силу своей профессии (адвокатская, врачебная тайна и т.д.).

    Виды ответственности за распространение персональных данных сотрудников

    В некоторых случаях разглашение сведений о частной жизни по УК образует одновременно состав другого преступления: разглашение тайны усыновления (ст. 155), разглашение данных предварительного расследования (ст. 310), разглашение сведений о мерах безопасности, применяемых в отношении судьи и участников уголовного процесса (ст. 311), разглашение сведений о мерах безопасности, применяемых в отношении должностного лица правоохранительного или контролирующего органа (ст. 320). В таких случаях содеянное квалифицируется по совокупности с комментируемой статьей. Напротив, не является незаконным разглашение личной и семейной тайны лицом, обязанным ее сообщить в силу закона (например, при допросе в качестве свидетеля).
    4. Предметом собирания и распространения являются, в отличие от клеветы, также сведения о частной жизни лица, которые объективно не являются порочащими, но составляют личную или семейную тайну потерпевшего, например о наличии у него неизлечимой болезни или о том, что он явился жертвой сексуального насилия.
    Состав преступления в редакции Федерального закона от 08.12.2003 N 162-ФЗ "О внесении изменений и дополнений в Уголовный кодекс Российской Федерации" <*> сформулирован как формальный. Преступление считается оконченным с момента совершения названных в комментируемой статье действий.
    ———————————
    <*> СЗ РФ. 2003. N 50. Ст. 4848.

    5. Субъективная сторона данного преступления характеризуется прямым умыслом. Элементом субъективной стороны является мотив: корыстная или иная личная заинтересованность. Корыстная заинтересованность выражается в стремлении приобрести материальную (имущественную) выгоду за счет потерпевшего или в виде вознаграждения от третьей стороны. Иная личная заинтересованность может заключаться в стремлении дискредитировать конкурента, сделать карьеру, отомстить за что-либо, продемонстрировать свое превосходство либо привлечь внимание к себе.
    6. Ответственность по ч. 1 комментируемой статьи несет любое физическое вменяемое лицо, достигшее 16 лет (общий субъект), а по ч. 2 комментируемой статьи — должностное лицо либо служащий государственного или муниципального учреждения, использующий для совершения преступления свое служебное положение (специальный субъект).

    Руководствуясь ст. 88 ТК РФ, работодатель обязуется не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
    Но нередки случаи, когда отдельным работникам нужно получить информацию о персональных данных других сотрудников, которые они намереваются использовать при выполнении трудовых обязанностей.

    Ответственность за разглашение персональных данных (ст. 137 УК РФ)

    Так происходит в случае, когда бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы, уплаты взносов, при направлении работников в командировку паспортные данные для покупки билетов.
    В соответствии со ст. 88 ТК РФ работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных функций. Для этого работодатель издает приказ об утверждении списка лиц, имеющих доступ к персональным данным работников, с указанием критериев необходимых персональных данных.
    Пунктом 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. С такими работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, работодатель должен оформить обязательство об их неразглашении.
    В том случае, если работник разгласил информацию, которая стала известна ему в связи с исполнением трудовых обязанностей, а он обязался не разглашать эти сведения, его можно привлечь к ответственности. Такая же позиция изложена в п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2.
    Ответственность за несоблюдение требований Закона об обработке персональных данных предусмотрена Кодексом об административных правонарушениях и влечет наложение административного штрафа на граждан в размере от 3 тыс. до 5 тыс. руб.; на должностных лиц — от 10 тыс. до 20 тыс. руб.; на юридические лица — от 15 тыс. до 75 тыс. руб.

    Если вы не нашли на данной странице нужной вам информации, попробуйте воспользоваться поиском по сайту:

    Все организации, выполняющие обработку персональных данных (ПДн) в своих информационных системах (ИС), являются операторами ПДн и должны обеспечить соответствие своих ИС требованиям ФЗ-152 "О персональных данных" и нормативным документам регулирующих органов РФ. Оператор обязан выполнить всвоей ИС комплекс организационных и технических мероприятий, в том числе создать Систему защиты ПДн, включающую необходимые средства защиты информации. Оператор получает право на обработку ПДн в своей ИС по результатам проведения оценки соответствия ИС требованиям законодательства РФ.

    При внедрении Системы защиты персональных данных (СЗПДн) необходимо решить задачу внедрения в организации СЗПДн, удовлетворяющей требованиям регулирующих органов РФ, не нарушив работу бизнес-процессов, и не снизив надежность, доступность и масштабируемость ИС.

    Мы предлагаем использовать для построения СЗПДн сертифицированные средства защиты информации производства компании Check Point Security Gateway:

    1. Межсетевое экранирование. Межсетевое экранирование является обязательным требованием для ИСПДн, имеющих подключение к публичным сетям общего пользования или взаимодействующих с другими ИС. Только сертифицированные средства межсетевого экранирования могут использоваться для защиты ПДн. Межсетевой экран CheckPoint Security Gateway сертифицирован по 3-му классу защищенности и может использоваться в ИСПДн любого класса (включая 1-ый).
    2. Обнаружение/предупреждение вторжений. Система обнаружения вторжений (СОВ) является обязательной компонентой защиты ИСПДн, имеющих подключение к публичным сетям общего пользования. Шлюз безопасности CheckPoint Security Gateway имеет встроенный функционал предупреждения вторжений (IPS), комбинирующий как сигнатурные, так и поведенческие методы обнаружения атак.
    3. Организация защищенных каналов связи. Оператор ПДн должен предусмотреть меры по защите данных, передаваемых по каналам связи между объектами производственной структуры организации. Шлюз безопасностиCheckPoint Security Gateway обеспечивает возможность криптографической защиты данных, передаваемых между шлюзами безопасности объектов, с использованием российских алгоритмов шифрования. Программное обеспечение Среды криптографической защиты информации (СКЗИ) «Крипто-Про CSP» устанавливается непосредственно на шлюз безопасности CheckPoint Security Gateway и обеспечивает шифрование данных по алгоритмам ГОСТ 28147-89 / ГОСТ Р 34.10.2001 в соответствии с нормативными документами ФСБ РФ. Применение данного технического решения позволяет оператору ПДн сохранить существующую структуру IPSecVPN, но привести ее в соответствие с требованиями регулирующих органов.
    4. Организация защищенного удаленного доступа пользователей. Для организации удаленного доступа пользователей к ресурсам корпоративной ИСПДн используется техническое решение на базе сертифицированного продукта Check Point Connectra NGX. Шлюз безопасности Connectra позволяет оператору ПДн построить сервер удаленного доступа корпоративного класса, обеспечивающего защищенный доступ удаленных пользователей средствами SSL VPN. При этом выполняется:
      • Криптографическая защита передаваемых данных по алгоритмам ГОСТ 28147-89/ ГОСТ Р 34.10.2001 в соответствии с нормативными документами ФСБ РФ.
      • Строгая многофакторная аутентификация пользователей.
      • Дополнительная защита данных на удаленном компьютере превентивными мерами, предупреждающими несанкционированный доступ к данным.

      Данное техническое решение не требует установки на удаленный компьютер дополнительного программного обеспечения.

      Соответствие основным нормативным актам

      • «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)».
      • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказ ФСТЭК России от 18 февраля 2013 г. N 21».
      • РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.

        Какая ответственность предусмотрена за разглашение персональных данных по 137 УК РФ?

        Показатели защищенности от несанкционированного доступа к информации».

      • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, ФСБ РФ № 149/6/6-622 от 21.02.2008.

      Примеры внедрения

      На базе указанных технологических решений компании CheckPoint была проведена модернизация СЗПДн ОСАО «Ингосстрах». Цель проекта – обеспечение соответствия ИС компании нормативным и правовым актам РФ и руководящим документам ФСТЭК по защите ПДн. Система получила положительную оценку соответствия требованиям ФЗ-152 и регламентирующим документам органов надзора.

      Проведенные работы позволили заказчику выполнить требования законодательства РФ без изменения дизайна своей ИС и избежать рисков нарушения бизнес-процессов. Использование сертифицированных средств защиты информации Check Point обеспечило удачное сочетаниевысокой функциональности, масштабируемости и удобства управления, традиционно характерных для продуктов Check Point, с необходимостью соответствия ИС требованиям законодательства РФ.

      Получение персональных данных у работника

      Согласно ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) обработка персональных данных осуществляется с согласия самого работника и их следует получить у него лично.

      При этом, если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение

      Следует помнить, что согласие необходимо также от претендента на замещение вакантной должности на период принятия работодателем решения о приеме либо отказе в приеме на работу; для включения соискателя в кадровый резерв работодателя.

      Решение работника (соискателя) о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо.

      Из данного правила есть исключение.

      В частности, не требуется согласие на обработку персональных данных работника (соискателя), получаемых, из документов (сведений), предъявляемых при заключении трудового договора; по результатам обязательного предварительного медицинского осмотра о состоянии здоровья; от кадрового агентства, действующего от имени соискателя; из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

      В соответствии со ст.

      86 ТК РФ работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных — расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Исключения составляют случаи, когда субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; персональные данные сделаны общедоступными субъектом персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия. Полный перечень содержится в ст.

      Ответственность за разглашение персональных данных гражданина

      10 Закона № 152-ФЗ.

      Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Данный документ является обязательным и его отсутствие может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства (ч.ч. 1, 2 ст. 5.27 КоАП РФ).

      За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

      Кроме того, поскольку персональные данные относятся к информации, доступ к которой ограничен, то лицо, получившее доступ к ней в связи с исполнением служебных или профессиональных обязанностей может быть привлечено к ответственности по ст. 13.14 КоАП РФ за разглашение подобной информации.

      Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации является уголовно наказуемым деянием.

      Не стоит забывать про дисциплинарную, материальную и гражданско-правовую ответственность.

      Если при обработке персональных данных организацией нарушаются права работника, то следует обратиться в ближайшее территориальное управление Роскомнадзора или прокуратуру.

      Старший помощник прокурора округа по правовому обеспечению

      Возврат к списку

      admin