Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Разглашение персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Комментарий к ст. 90 ТК РФ
1. В комментируемой статье устанавливается правило, согласно которому лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, могут быть привлечены к установленной законом ответственности. Также предусматривается, что такие лица несут дисциплинарную, материальную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
2. Под лицами, названными в ст. 90, следует понимать прежде всего представителей и других ответственных работников работодателя, в обязанности которых входит обработка и защита персональных данных работника. Такие лица за ненадлежащее исполнение указанных обязанностей могут привлекаться к дисциплинарной и даже к уголовной ответственности. О дисциплинарной ответственности названных лиц см. ст. ст. 192, 193 и 195 ТК.
Статья 81 ТК устанавливает возможность увольнения работника в связи с разглашением им охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением трудовых обязанностей, в т.ч. в связи с разглашением персональных данных другого работника.
3. Гражданско-правовая ответственность предусмотрена ст. 1472 ГК РФ. В соответствии с указанной статьей нарушитель исключительного права на секрет производства, в т.ч. лицо, которое неправомерно получило сведения, составляющие секрет производства, и разгласило или использовало эти сведения, обязан возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом.
Статья 15 ГК РФ устанавливает, что лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере.
Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).
Если лицо, нарушившее право, получило вследствие этого доходы, лицо, право которого нарушено, вправе требовать возмещения наряду с другими убытками упущенной выгоды в размере не меньшем, чем такие доходы.
4. Уголовный кодекс РФ устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни (ст. 137), неправомерный отказ должностного лица в предоставлении гражданину документов и материалов, затрагивающих его права и свободы (ст. 140), неправомерный доступ к охраняемой законом компьютерной информации (ст. 272).
В зависимости от тяжести деяния эти статьи предусматривают возможность применения к виновным лицам различных наказаний вплоть до лишения свободы.
5. Что же касается административной и гражданско-правовой (материальной) ответственности, то к ней могут быть привлечены не только названные работники, но и сам работодатель — юридическое лицо. Например, ст. 13.11 КоАП РФ устанавливает, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц — от 500 до 1000 руб.; на юридических лиц — от 5000 до 10000 руб.
6. Работник, которому в результате ненадлежащего хранения и использования персональных данных причинен ущерб, вправе взыскать его с работодателя (ст. 234 ТК).
Независимо от возмещения имущественного ущерба такой работник может потребовать компенсации морального вреда, т.е. причиненных ему физических и нравственных страданий (ст. 237 ТК).
В свою очередь, работодатель, привлеченный к административной ответственности или возместивший работнику причиненный ему ущерб, вправе привлечь к материальной ответственности конкретных виновников нарушения правил хранения и использования персональных данных (см. гл. 39 ТК).
Образец жалобы на незаконное использование персональных данных
В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
В Центральный банк Российской Федерации
От П.
Жалоба на использование персональных данных
Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.
В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
Звонки поступают со следующих номеров телефонов: …
Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.
В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.
Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Ответственность за нарушение законодательства
Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).
Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.
Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):
- 6–10 тыс. руб. — на граждан;
- 20–40 тыс. руб. — на должностных лиц;
- 30–150 тыс. руб. — на юридических лиц.
ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.
Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).
Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
Наказание за разглашение персональных данных
Наказание по ст. 137 УК РФ варьируется от штрафа до лишения свободы. Совершение ничем не отягченного преступления (ч. 1 ст. 137 УК РФ) грозит одним из следующих наказаний:
- штрафом в размере до 200 000 руб. (как вариант, в размере полуторагодовой зарплаты виновного);
- обязательными или исправительными работами на срок до 360 часов или до 1 года соответственно;
- до 4 месяцев ареста;
- до 2 лет лишения свободы.
Для лиц, допустивших разглашение конфиденциальных сведений о личности в связи со своим служебным положением, наказание будет строже:
- минимальный размер штрафа в этом случае составит 100 000 руб., максимальный — 300 000 руб.;
- обязательные работы в ч. 2 ст. 137 не предусмотрены, а срок принудительных увеличен до 4 лет;
- продолжительность ареста продлена до 5 месяцев, срока лишения свободы — до 5 лет.
Самые суровые последствия ждут виновных в разглашении данных о несовершеннолетних:
- согласно ч. 3 ст. 137 УК РФ им придется заплатить от 150 000 до 350 000 руб. штрафа либо принудительно отработать до 6 лет;
- в качестве альтернативы возможен арест на срок до полугода или до 6 лет тюрьмы.
Ответственность работодателя за незаконное разглашение персональных данных
Случаи, когда работодатель пренебрежительно относятся к нормам закона, предусматривающего обязанность сохранения в тайне персональных данных работника, отнюдь не редки. На вопрос о том, в каких случаях разглашение персональных данных является неправомерным, ответ однозначен – во всех, при которых не было получено согласие их носителя.
Чаще всего распространению подвергается информация о доходах сотрудников, что, безусловно, может иметь негативные последствия. Ответственность за совершение подобных действий варьируется от дисциплинарной до уголовной. Поэтому работник, которому стало известно о разглашении своих персональных данных работодателю, вправе обратиться за защитой в правоохранительные органы.
Однако эффективнее всего будет подача жалобы в региональное управление Роскомнадзора – органа, призванного осуществлять защиту прав физических лиц в сфере обработки их персональных данных. В случае, если доводы жалобы будут подтверждены, Роскомнадзор либо самостоятельно привлечет недобросовестного работодателя к административной ответственности по статье 13.14 КоАП России, либо передаст собранные материалы в прокуратуру для решения вопроса о возбуждении уголовного дела по ст. 137 УК РФ.
Доказать факт незаконного распространения личной информации непросто, но вполне возможно. Для этого необходимо заручиться показаниями свидетелей и очевидцев, а также, представить письменные или электронные подтверждения, если они имеют место быть. Идеальный вариант – поддержка со стороны лица, получившего незаконно разглашенные сведения.
Пояснение понятия разглашения персональных данных
Под разглашением понимается сообщение третьим лицам сведений, составляющих персональные данные человека. Информирование третьих лиц может происходить любым способом: в устной беседе, посредством электронной переписки и т.д.
Если разглашение происходит по просьбе или с ведома лица, чьи персональные данные сообщаются, то такие действия не грозят ответственностью. В случае же разглашения личных сведений без согласия гражданина, такие действия могут быть наказаны по закону.
Объём сведений, за разглашение которых можно привлечь лицо к ответственности определяется в каждом случае индивидуально. Так, например, суды наказывали граждан в соответствии со ст.137 УК за разглашение следующих сведений:
- ФИО, место жительства, год рождения, абонентский номер;
- Детализация телефонных звонков;
- Информация о передвижении автомобиля.
Ответственность работника за разглашение персональных данных
Безопасность информации, в том числе персональных данных, в организации зависит от множества факторов. Руководители принимают различные меры для построения системы защиты, но зачастую они не работают из-за неправильно расставленных приоритетов. Одним из самых важных элементов защиты является человеческий фактор. Если для сотрудников неправильно построена система наступления ответственности за разглашение защищенной информации, то остальные меры защиты уже не важны. Разглашение охраняемой законом информации, в частности персональных данных, может привести к существенным проблемам для руководителя и компании в целом. И именно понимание работников неотвратимости наступления ответственности за разглашение персональных данных будет являться основополагающим фактором в системе защиты.
В соответствии с требованием ст. 24. Федерального закона «О персональных данных», лица, виновные в нарушении требований данного закона, несут предусмотренную законодательством Российской Федерации ответственность.
Исходя из смысла ст. 90 ТК РФ, работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.
В соответствии со ст. 192 ТК РФ за совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям.
Федеральными законами, уставами и положениями о дисциплине (ч. 5 ст. 189 ТК РФ) для отдельных категорий работников могут быть предусмотрены также и другие дисциплинарные взыскания.
Говоря об ответственности работника надо отграничить два разных случая:
- разглашение имело место в период действия трудового договора;
- разглашение имело место после прекращения (или расторжения) трудового договора.
В соответствии со статьей 81 пункт 6 подпункт «в» ТК РФ трудовой договор может быть расторгнут в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Согласно п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010) «О применении судами Российской Федерации Трудового кодекса Российской Федерации», в случае оспаривания работником увольнения по подпункту «в» пункта 6 части первой статьи 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне, либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения.
В соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен работнику такими действиями. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.
В.Я. Ищейнов, к.т.н., доц. РГГУ
- Виды охраняемых тайн
- Установление режима коммерческой тайны
- Работа с персоналом
- Ответственность работников за разглашение конфиденциальной информации
Понятие «конфиденциальная информация» стало неотъемлемой частью российской юридической лексики. В настоящий момент оно используется в нескольких сотнях нормативных правовых актов Российской Федерации. Не отстают от законодателя и правоприменители: все чаще в различных договорах можно встретить целые разделы или даже отдельные соглашения о конфиденциальности. Широкое распространение получило включение положений о запрете на распространение сведений конфиденциального характера в трудовых договорах.
Согласно ФЗ «Об информации, информационных технологиях и защите информации» понятие «конфиденциальная информация» характеризируется, как сведения, независимо от формы их предоставления, которые не могут быть переданы лицом, получившим доступ к данным сведениям, третьим лицам без согласия их правообладателя.
За разглашение конфиденциальной информации, утрату носителей конфиденциальной информации и нанесение вследствие этих действий ущерба предприятию (работодателю) виновные лица привлекаются к дисциплинарной, материальной, административной или уголовной ответственности.
Какие сведения могут охраняться законом? Разглашение информации, содержащей:
- государственную тайну;
- коммерческую тайну;
- служебную тайну;
- персональные данные;
- и иные тайны
является основанием для увольнения.
Перечень сведений, составляющих государственную тайну указан в ст. 5 Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне». В основном к ним относятся определенные сведения из военной области, области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-розыскной деятельности.
Под коммерческой тайной в силу ст. 3 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (далее — Закон о коммерческой тайне) понимают режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Коммерческую тайну составляет информация любого характера (производственного, технического, экономического и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере. Сведения о способах осуществления профессиональной деятельности, которые неизвестны третьим лицам и к которым у них нет свободного доступа на законном основании, также относятся к коммерческой тайне, если их обладателем введен в отношении к ним режим коммерческой тайны.
К служебной тайне на основании ст. 1470 ГК РФ относятся секреты производства, которые стали известны работнику в связи с исполнением им своих трудовых обязанностей или конкретного задания работодателя.
К иным видам тайн, за разглашение которых предусмотрена ответственность, причем не только трудовым законодательством, относится информация, связанная с профессиональной деятельностью.
Чтобы секретные сведения не повлияли на взаимоотношения с деловыми партнерами, не привели к потере выгодных сделок, снижению цен и объемов продаж, необходимо заранее позаботиться об охране конфиденциальной информации. В частности, согласно ст. 10 Закона о коммерческой тайне работодатель должен:
— определить перечень информации, составляющей коммерческую тайну;
- установить правила доступа к тайной информации (исключить доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя);
- вести учет лиц, получивших доступ к сведениям, составляющим коммерческую тайну;
- определить порядок использования тайных сведений работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- наносить на документы, содержащие информацию, составляющую коммерческую тайну, гриф «Коммерческая тайна» (или «КТ») с указанием обладателя этой информации.
Только после принятия данных мер режим коммерческой тайны будет считаться установленным. Лучше всего разработать локальный нормативный акт (например, положение о коммерческой тайне и ее защите), в котором необходимо учесть все виды информации и сведений, не подлежащих разглашению, а также порядок их обработки, хранения и передачи.
Чтобы знать, с кого из работников «спросить» за разглашенные сведений, то есть привлечь к ответственности или вовсе уволить, работодатель обязан (ст. 11 Закона о коммерческой тайне):
- ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем такой информации;
- ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения им установленного режима коммерческой тайны.
Только при соблюдении работодателем вышеуказанных условий работник обязан:
- выполнять установленный работодателем режим коммерческой тайны;
- не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
- передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
В свою очередь, трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности.
Ограничение в трудоустройстве на работу в коммерческие организации допустимо только в случаях, предусмотренных федеральными законами и только в отношении отдельных категорий граждан. Например, на основании ст. 64.1 ТК РФ такое ограничение установлено в отношении бывших государственных гражданских служащих. Для лиц, трудящихся в коммерческих организациях, таких ограничений не установлено, поэтому подписание работником соглашения о запрете трудоустройства в аналогичные организации не будет иметь никакой юридической силы.
В отношении защиты персональных данных действует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Главой 14 ТК РФ установлены правила обработки персональных данных, гарантии их защиты.
Можно назвать следующие документы, персональные данные из которых не подлежат разглашению:
- документы, предъявляемые при трудоустройстве (ст. 65 ТК РФ);
- справки медицинского обследования (ст. ст. 69, 213 ТК РФ);
- документы, подтверждающие право работника на определенные гарантии, компенсации и льготы, установленные трудовым законодательством, например справка об инвалидности и др.;
- документы о составе семьи, возрасте ребенка, беременности, представляемые для улучшения условий труда;
- сведения о членстве работника в профессиональных союзах.
Работник, который по роду своей деятельности получил доступ к секретной информации, в случае умышленного или неосторожного разглашения таковой может нести дисциплинарную, уголовную и материальную ответственность.
Уточним, что понимать под разглашением коммерческой тайны. На основании ст. 3 Закона о коммерческой тайне это действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
Конечно, для работника самым существенным наказанием будет увольнение, которое относится к мерам дисциплинарной ответственности.
Дисциплинарная ответственность работников предприятий предусмотрена ст. 57, 81, 192 и 193 Трудового кодекса РФ1. В соответствии со ст. 57 в заключаемом работодателем и работником трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной).
В отношении работника, совершившего дисциплинарный проступок, связанный с неисполнением или ненадлежащим исполнением трудовых обязанностей, работодателем могут быть применены следующие дисциплинарные взыскания, определенные ст. 192 ТК РФ: замечание, выговор, увольнение по соответствующим основаниям. Порядок применения дисциплинарных взысканий определен в ст. 193 ТК РФ.
Увольнение работника осуществляется в соответствии с положениями ст. 81 ТК РФ «Расторжение трудового договора по инициативе работодателя». В соответствии с подпунктом 6 указанной статьи трудовой договор с работником может быть расторгнут в случае однократного грубого нарушения работником трудовых обязанностей — разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной в связи с исполнением работником его трудовых обязанностей.
Материальная ответственность работника наступает в случае нанесения ущерба предприятию в результате разглашения конфиденциальной информации, ставшей известной работнику в связи с исполнением им должностных (функциональных) обязанностей. В соответствии со ст. 232, 238, 242 ТК РФ работник обязан возместить ущерб, нанесенный предприятию (работодателю). Согласно п. 7 ст. 243 ТК РФ разглашение сведений, составляющих охраняемую законом тайну (коммерческую, служебную или иную), влечет за собой материальную ответственность работника в полном размере причиненного ущерба.
Административная ответственность за разглашение конфиденциальной информации, доступ к которой ограничен в соответствии с законодательством РФ, определена ст. 13.14 Кодекса Российской Федерации об административных правонарушениях .
В соответствии с положениями указанной статьи разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа: на граждан — в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда.
Уголовная ответственность за преступления в сфере защиты государственной тайны предусмотрена ст. 275, 283, 284 гл. 29 Уголовного кодекса РФ2. Согласно ст. 275 УК РФ, выдача гражданином РФ государственной тайны иностранному государству, иностранной организации или их представителям наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработанной платы или иного дохода осужденного за период до трех лет либо без такового.
Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, без признаков государственной измены в соответствии со ст. 283 УК РФ наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет (в случае тяжких последствий — до семи лет) с лишением права занимать определенные должности или заниматься определенной деятельностью до трех лет или без такового.
Напомним, что пп. «в» п. 6 ч. 1 ст. 81 ТК РФ предусматривает расторжение трудового договора по инициативе работодателя в связи с разглашением охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника. Поэтому нужно очень внимательно отнестись к соблюдению всех процедур, установленных ТК РФ.
Кроме этого, работодателю необходимо соблюдать порядок, установленный ст. 193 ТК РФ, и помнить, что дисциплинарное взыскание в виде увольнения может быть применено не позднее одного месяца со дня обнаружения проступка и не позднее шести месяцев с момента совершения. В этот срок не включаются периоды болезни работника, пребывания его в отпуске, а также время, необходимое на учет мнения представительного органа работников.
Также на основании п. 43 Постановления Пленума ВС РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации» работодатель обязан представить доказательства того, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной деятельности.
Если работодатель обнаружил факт разглашения охраняемых сведений, нужно составить акт. Унифицированной формы для него не предусмотрено, он составляется в произвольной форме с указанием:
- фамилии, имени, отчества работника, обнаружившего факт разглашения;
- сведений, которые были разглашены;
- обстоятельств, при которых произошли разглашение и обнаружение этого факта;
- даты и времени разглашения и обнаружения.
По факту нарушения режима коммерческой тайны нужно провести проверку специально созданной комиссией, которая создается приказом из не менее трех компетентных и не заинтересованных в исходе разбирательства работников, имеющих допуск к сведениям, разглашение которых произошло.
Комиссия:
- запрашивает объяснение у лица, разгласившего информацию; -фиксирует иные доказательства факта нарушения режима коммерческой тайны (документы, копии электронных писем или страницы сайта в Интернете, видеозаписи и т.д.);
- по итогам расследования составляет акт, в котором отражает время, место и обстоятельства нарушения, причины и условия его совершения, виновных лиц и степень их вины, размер причиненного ущерба и предложения по его возмещению, предлагаемые меры наказания.
Ответственность за разглашение персональных данных работника
«Кадровик. Кадровое делопроизводство», 2007, N 1
Ответственность за разглашение персональных данных работника
Конституцией РФ установлено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. ст. 23, 24 Конституции РФ). В то же время при приеме на работу от соискателя часто требуют предоставления сведений личного характера. Но кто будет нести ответственность за сохранность этих данных?
Согласно ст. 85 Трудового кодекса РФ персональными данными работника признается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Принимая на работу нового сотрудника, работодатель должен сообщить ему о целях получения персональных данных, о характере подлежащих получению персональных данных работника, а также предупредить о последствиях отказа сотрудника дать письменное согласие на получение таких сведений. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, о частной жизни, а также данные о членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ). В соответствии со ст. 24 Конституции РФ в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Работодатель при принятии решений, затрагивающих интересы сотрудника, не имеет права основываться на его персональных данных, предоставленных исключительно в результате автоматизированной обработки или электронного получения. Руководитель обязан обеспечить защиту персональных данных сотрудника от неправомерного использования или утраты. Работников следует ознакомить под расписку с документами организации, которые устанавливают порядок обработки персональных данных, а также об их правах и обязанностях в этой области, при этом сотрудники не должны отказываться от прав на сохранение и защиту тайны. Работодателям, работникам или их представителям необходимо совместно вырабатывать меры защиты личных сведений, закрепив это требование в Положении о персональных данных работника.
Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации; в правоохранительных органах; страховых агентствах; туристических и гостиничных фирмах; в некоторых подразделениях муниципальных органов самоуправления и т.д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, то есть в отделе кадров.
Нарушение порядка сбора,
хранения, использования
или распространения
персональных данных
Штраф для должностных
лиц — от 500 до
1000 руб.; для
юридических лиц —
от 5000 до 10 000 руб.
Статья 13.11
КоАП РФ
Нарушение законодательства
о труде
Штраф для должностных
лиц — от 500 до
5000 руб.; для
юридических лиц — от
30 000 до 50 000 руб.
Статья 5.27
КоАП РФ
Нарушение правил хранения
и использования
персональных данных,
повлекшее за собой
материальный ущерб
работодателю
Материальная
ответственность
работника в пределах
его среднего месячного
заработка (ст. ст. 238,
241 ТК РФ)
Статья 238 ТК
РФ
Ненадлежащее хранение и
использование
персональных данных,
повлекших за собой ущерб
работнику
Возмещение морального
вреда работнику в
денежной форме в
размерах, определенных
трудовым договором
(ст. 237 ТК РФ);
возмещение
материального ущерба
работнику в полном
объеме (ст. 235 ТК РФ)
Статья 234 ТК
РФ
Разглашение служебной
тайны, ставшей известной
работнику при выполнении
им трудовых обязанностей
Материальная
ответственность
работника;
дисциплинарная
ответственность
работника (ст. ст. 192,
195 ТК РФ) вплоть до
расторжения трудового
договора по пп. «в»
п. 6 ст. 81 ТК РФ
Пункт 7
ст. 243 ТК РФ
Нарушение
неприкосновенности
частной жизни
Статья 137 УК
РФ
Неправомерный доступ к
охраняемой законом
компьютерной информации
Статья 272 УК
РФ
Информация о персональных данных может быть получена (из документов и устной беседы) при заключении трудового договора между предполагаемым работником и работодателем. Статьей 65 ТК РФ определен перечень документов, предъявляемых при заключении договора:
— паспорт или иной документ, удостоверяющий личность;
— трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
— страховое свидетельство государственного пенсионного страхования;
— документы военного учета;
— документ об образовании, квалификации или наличии специальных знаний или специальной подготовки, а также иные документы, предусмотренных законодательством.
Ответственность за распространение персональных данных несет в первую очередь работодатель, а также ответственные лица: отдел кадров или работник, отвечающий за сохранность этих данных, согласно условиям трудового договора или должностной инструкции.
Работа отдела кадров любой организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов персональных данных сотрудников организаций. Эти сведения являются конфиденциальными, поскольку составляют информацию о фактах, событиях и обстоятельствах личной или семейной жизни гражданина и подлежат защите в соответствии с законом (Федеральный закон от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации»). В связи с этим отдел кадров должен обеспечить безопасность таких сведений, их защиту от угроз со стороны потенциальных злоумышленников, которые могут использовать данные в противозаконных целях.
Главное условие защиты персональных данных — четкая регламентация функций работников отдела кадров, а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность согласно федеральным законам (ст. 90 ТК РФ). К сотруднику, отвечающему за хранение персональной информации в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ, а именно замечание, выговор и увольнение. Работодатель может расторгнуть трудовой договор по своей инициативе при разглашении охраняемой законом тайны, ставшей сотруднику известной в связи с исполнением им трудовых обязанностей (пп. «в» п. 6 ст. 81 ТК РФ). Помимо этого сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности.
Административная ответственность
Начнем с более точного определения персональных данных, а именно с информации из документов и сведений о личности, не предназначенных огласке и защищенных различными нормами законодательства. Это могут быть паспортные данные, личные идентификаторы гражданина, а так же иные сведения, например об имеющихся у него болезнях (защищены врачебной тайной). За распространение таких сведений уголовная ответственность не предусмотрена, так как работа с ними регулируется гражданским кодексом. И поэтому за наказание отвечает Кодекс об Административных Правонарушениях, а именно статья 13.11.
Статья 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных» защищает любые сведения, нераспространение которых гарантировано государством, состоит из 7 частей и достаточно подробно описывает все возможные виды наказания:
- Часть первая. Рассматривает запрос и обработку личной информации в тех случаях, когда она не требуется по закону. Грозит предупреждением, наложением штрафа от 1000 до 3000 рублей для граждан, от 5000 до 10000 для должностных лиц и от 30000 до 50000 для юридических лиц;
- Часть вторая. Рассматривает сбор и обработку информации без письменного согласия их владельца в тех случаях, когда оно необходимо. Наказанием послужит штраф от 3000 до 5000 рублей для граждан, от 10000 до 20000 для должностных лиц и от 15000 до 70000 для организаций;
- Часть третья. Невыполнение оператором, выполняющим обработку данных, правил и норм по их опубликованию или обеспечению доступа. Наказывается штрафом от 700 до 1700 рублей для физических лиц, от 3000 до 6000 для должностных и от 15000 до 30000 для организаций;
- Часть четвертая. Рассматривает нарушения в работе оператора, касающиеся его обязанностей по предоставлению персональных данных или информации об их обработке субъекту. Наказывается штрафом от 1000 до 2000 рублей для физических лиц, от 4000 до 6000 для должностных лиц и от 20000 до 40000 для юридических лиц;
- Часть пятая. Рассматривает любое нарушение сроков в обработке, хранении, передаче, уничтожении персональной информации. Наказанием за такой проступок послужат штрафы от 1000 до 2000 рублей для физических лиц, от 4000 до 6000 для должностных лиц и от 25000 до 40000 для юридических лиц;
- Часть шестая. Рассматривает нарушения, которые привели к распространению персональных данных случайно или умышленно, а так же ошибки при обеспечении безопасности личных сведений и закрытой информации. Наказываются подобные деяния штрафом до 2000 рублей для физических лиц, до 10000 для должностных лиц и до 50000 – для организаций.
- Часть седьмая. Рассматривает нарушения законов о персональной информации, которые были замечены за сотрудниками муниципальных или государственных органов власти. Наказываются подобные нарушения штрафами до 6000 рублей.
Санкции за разглашение персональных данных
Статья 137 УК РФ предусматривает различные санкции за сбор и распространение тайной информации. Если преступление не носит тяжкий характер, то виновному лицу грозят следующие виды наказаний:
- лишение свободы до 2 лет;
- арест до 4 месяцев;
- штраф в размере до 200 тыс. рублей (или полуторагодовая зарплата виновного лица);
- обязательные работы сроком до 360 часов или исправительные работы до 1 года.
Отягчающим наказанием считается сбор или распространение информации в связи со своим должностным положением. В качестве примера можно выделить разглашение персональных данных работодателем. Виновное лицо в этом случае будет подвержено воздействию довольно тяжелых санкций:
- лишение свободы до 5 лет или арест сроком до 5 месяцев;
- штраф до 300 тыс. рублей;
- принудительные работы до 4 лет (обязательные работы не предусмотрены).
Разглашение персональных данных сотрудников и клиентов — это тяжелое преступление. Однако даже за него последуют наказания не столь суровые, как за сбор и распространение информации о несовершеннолетних. За подобные действия установлены следующие типы наказаний:
- арест до полугода или лишение свободы до 6 лет;
- штраф до 350 тыс. рублей;
- принудительные работы до 6 лет.
Умышленное разглашение сведений о человеке наказывается по всей строгости закона. Но как следует хранить и защищать информацию, чтобы никто не смог ее достать и незаконно распространить? Обратимся к нормам ФЗ-152 «О персональных данных».