Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ).

Персональные данные являются конфиденциальной информацией, охраняемой законом, и операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не передавать их без согласия субъекта персональных данных, за исключением случаев, предусмотренных законом.

К персональным данным относится любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных). К таким данным относятся ФИО, паспортные данные, личная переписка, телефонные переговоры, информация по вкладам, счетам и кредитам, врачебная и семейная тайна, сведения о родственниках и иная охраняемая законом тайна.

Целью защиты персональных данных является обеспечение прав и законных интересов гражданина при обработке его персональных данных, в том числе для защиты его прав на неприкосновенность частной жизни.

Персональные данные физического лица могут обрабатываться как в связи с его трудовой деятельностью в организации (работодателем), так и третьими лицами, с которыми гражданин вступает в договорные отношения или намерен вступить - заполняет заявления, анкеты и иные документы, необходимые для трудоустройства, лечения, получения кредитов и т.д. В связи с этим компании в целях продвижения своих товаров и услуг на рынке, привлечения максимального количества клиентов получают, передают и обрабатывают персональные данные граждан без надлежащим образом оформленного согласия на обработку ПД, а зачастую и без получения такого согласия, когда оно требуется по закону.

За нарушение требований Закона № 152-ФЗ предусмотрена дисциплинарная, административная, материальная и уголовная ответственность. Моральный вред, причиненный субъекту персональных данных вследствие нарушения правил обработки его персональных данных, также подлежит возмещению независимо от имущественного вреда и понесенных убытков.

В связи с существующим риском несанкционированного разглашения персональных данных, их незаконной передачи третьим лицам, утраты документов, содержащих персональные данные, компании необходимо осуществить комплекс организационно-правовых мер, направленных защиту персональных данных в целях недопущения привлечения к ответственности в связи с нарушением законодательства о персональных данных и предотвращения убытков.

Анализ судебной практики показал, что чаще всего персональные данные разглашаются сотрудниками или бывшими сотрудниками компаний, должностными лицами, которые в связи со своим служебным положением получают доступ к персональным данным. Мера ответственности зависит от наличия вины и тяжести совершенного правонарушения. При этом закон не требует наступления неблагоприятных последствий для привлечения к ответственности – достаточно лишь факта совершения незаконных действий – распространения, публикации или иного способа передачи третьим лицам персональных данных без согласия субъекта.

1. Споры о привлечении к дисциплинарной ответственности, как правило, связаны с разглашением работником конфиденциальной информации, содержащей персональные данные других сотрудников компании. Видами дисциплинарной ответственности согласно ст. 192 Трудового кодекса РФ (ТК РФ) являются замечание, выговор, увольнение по соответствующим основаниям.

Статья 81 ТК РФ предусматривает, что одним из оснований расторжения трудового договора по инициативе работодателя является однократное грубое нарушение работником трудовых обязанностей - разглашение охраняемой законом тайны, ставшей работнику известной в связи с исполнением им своих трудовых обязанностей, в том числе персональных данных другого работника (пп. в п. 6 ч. 1 ст. 81 ТК РФ).То есть за разглашение персональных данных, работник может быть даже уволен по инициативе работодателя и такое увольнение судами, при соблюдении норм ТК РФ, признается законным.

Так, С.С. (истец) обратился с иском к своему бывшему работодателю ООО «Финансовое Агентство» (ответчик) о признании его увольнения незаконным, так как он был уволен по пп. в п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого сотрудника, ссылаясь, что его увольнение незаконно, поскольку никаких действий, направленных на разглашение конфиденциальной информации он не совершал.

Суд установил, что истец, работал в должности системного администратора в компании ответчика, был ознакомлен со своей должностной инструкцией, Положением о работе с персональными данными, с обязательством о неразглашении конфиденциальной информации (персональных данных). Кроме того, условиями заключенного трудового договора с С.С., было предусмотрено обязательство не разглашать сведения, касающиеся системы, условий и размеров оплаты труда в ООО «Финансовое агентство». Ответчик ссылался в своих доводах и из показаний свидетелей по делу следовало, что С.С. неоднократно рассказывал другим сотрудникам компании о заработной плате другого работника компании - территориального менеджера, а именно - о повышении ее размера и о ее величине. Эта информации С.С. стала известна из программы 1 С работодателя в связи с исполнением им своих служебных обязанностей. Суд признал увольнение законным по факту однократного грубого нарушения трудовых обязанностей – разглашение персональных данных другого работника, при этом процедура увольнения была соблюдена работодателем. Апелляционным определением Московского городского суда от 14.06.2016 по делу № 33-22766/16 решение Таганского суда г. Москвы от 23.12.2015 года было оставлено без изменения.

С учетом сложившейся судебной практики и в целях защиты конфиденциальной информации, содержащей персональные данные, работодателю рекомендуется выполнять комплекс мероприятий по принятию необходимых локальных актов и ознакомлению своих сотрудников с данными документами под роспись, а именно:

- установить порядок хранения и использования персональных данных работника, разработав локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, который бы обеспечивал их защиту от неправомерного использования или утраты.

- утвердить в организации конкретный перечень работников, имеющих доступ к персональным данным.

- предусмотреть в должностных инструкциях лиц, работающих с персональными данными, обязательства по неразглашению персональных данных, которые им стали известны по работе, а также заключить с каждым работником обязательство о неразглашении персональных данных.

- предусмотреть в трудовом договоре и в Правилах внутреннего трудового распорядка ответственность работников за разглашение персональных данных.

- хранить документы, содержащие персональные данные в охраняемых помещениях или с использованием средств защиты, исключающих несанкционированный доступ третьих лиц.

При хранении документов, содержащих персональные данные работников, следует учитывать сроки хранения, установленные, в частности, в Перечне типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. Приказом Минкультуры России от 25.08.2010 N 558), и ст. 22.1. Федерального закона от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации".

2. Действующим законодательством предусмотрена административная ответственность за нарушение законодательства РФ в области персональных данных, а также ответственность за разглашение информации с ограниченным доступом.

2.1. В соответствии с п. 1 ст. 13.11. КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

А обработка персональных данных без согласия в письменной форме субъекта персональных данных, когда такое согласие должно быть получено в соответствии с законом, влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей (п. 2 ст. 13.11. КоАП РФ).

Так Постановлением мирового судьи судебного участка № 374 Таганского района г. Москвы от 09.09.2016 г. Генеральный директор ООО «ИНВЕСТ ЛАЙФ» Фанта был признан виновным в совершении административного правонарушения, предусмотренного ст. 13.11. КоАП РФ и ему было назначено наказание в виде предупреждения. Судом было установлено, что Генеральный директор ООО «ИНВЕСТ ЛАЙФ» Фанта допустил использование информации о гражданине Р. (его персональных данных), а именно его ФИО и номера мобильного телефона, осуществив звонок на его номер в целях продвижения инвестиционных продуктов Общества, чем нарушил ч. 1 ст. 15 Закона о персональных данных. Согласия субъекта персональных данных на их обработку в установленном законом порядке получено не было. Ссылка Генерального директора, что персональные данные были им взяты из открытого источника – социальной сети «В контакте», а номер телефона и имя абонента не являются персональными данными, так как указанные сведения сам Р. сделал общедоступными, в связи с чем могут быть использованы третьими лицами без его согласия, не принята судом во внимание. Суд мотивировал свое решение тем, что использование оператором персональных данных, независимо от источника их получения, в целях продвижения товаров, работ и услуг на рынке путем осуществления прямых контактов с ним посредством связи допускается только после получения согласия субъекта персональных данных (физического лица). Постановлением Московского городского суда от 03.08.2017 г. по делу № 4а-2675/2017 постановление мирового судьи было оставлено без изменения.

В другом деле ЗАО «Банк» было также признано виновным в совершении административного правонарушения, предусмотренного ст. 13.11. КоАП РФ и юридическому лицу было назначено административное наказание в виде штрафа в размере 10 000 (десять тысяч) рублей (постановление мирового судьи судебного участка № 387 Басманного района г. Москвы от 13.12.2011 г.) в связи с передачей Банком персональных данных Д. третьему лицу (ООО «Д агентство») с целью осуществления юридических и фактических действий, направленных на обеспечение погашения задолженности по кредитному договору. При этом согласия Д. на обработку и передачу третьему лицу его персональных данных получено не было, так как в кредитном договоре отсутствует перечень персональных данных, на обработку которых он дал согласие, и не указан срок, в течение которого согласие действует. Постановлением Московского городского суда от 20.08.2012 г. по делу № 4а-1422/12 постановление мирового судьи было оставлено без изменения.

2.2. Согласно ст. 13.14. КоАП РФ разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 500 до 1 000 рублей; на должностных лиц - от 4 000 до 5 000 рублей.

Так Постановлением мирового судьи судебного участка № 1 Октябрьского района г. Саратова о назначении административного наказания, оставленным без изменения Решением Судьи Октябрьского районного суда г. Саратова (Дело № 12-209/11 от 05.12.2011 г.) Исполняющий обязанности Генерального директора ООО «УК ПНКБ» Бородушкин А.В. был привлечен к административной ответственности в виде штрафа в размере 4 000 рублей за разглашение информации, доступ к которой ограничен. Судом было установлено, что ООО «УК ПНКБ» заключило договор с ООО «***», по которому осуществило передачу ООО «***» реестров должников, содержащих их персональные данные, без согласия указанных лиц. При этом в договоре отсутствует обязанность обеспечения оператором и третьими лицами конфиденциальности и безопасности персональных данных при их обработке. Таким образом, были нарушены части 1 ст. 7, части 1 и 4 ст. 6 ФЗ «О персональных данных» № 152-ФЗ от 27.07.2006 г. Обжалуя решение мирового судьи Бородушкин А.В. ссылался, что сам факт заключения договора не означает разглашение информации, подпадающей под действие ст. 13.14. КоАП РФ. Суд, отказывая в удовлетворении жалобы, указал, что вина Бородушкина А.В. подтверждена самим фактом заключения им договора, по которому передается реестр должников, а также договором предусмотрена обязанность ООО «УК ПНКБ» по первому требованию ООО «***» предоставлять единые платежные документы (квитанции с начислениями ЖКХ услуг) должников, при этом сведения о согласии лиц, в отношении которых будут передаваться указанные данные – отсутствуют, а сам договор вступил в силу с момента его подписания, что уже свидетельствует о разглашении информации, доступ к которой ограничен федеральным законом, лицом, получившим к ней доступ в связи с исполнением Бородушкиным А.В. служебных обязанностей директора ООО «УК ПНКБ».

С учетом сложившейся судебной практики по привлечению к административной ответственности, лицам, которым информация, содержащая персональные данные, стала известна в силу закона или договора необходимо соблюдать требования Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", так как ст. 7 данного ФЗ закрепляет норму о том, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. Субъект персональных данных вправе требовать возмещения имущественного вреда, понесенных убытков, а также морального вреда.

Анализ судебной практики показал, что в большинстве случаев суды отказывают в возмещении морального вреда лицам, персональные данные которых разглашались или обрабатывались незаконно, поскольку доказать причинение морального вреда практически невозможно. В суд необходимо представить реальные доказательства, свидетельствующие, что лицо испытывало физические и нравственные страдания в связи с незаконной обработкой его персональных данных.

При этом в редких случаях взыскание морального вреда реально становится возможным, когда истцу удается доказать, что согласия на обработку персональных данных он не давал, оператор персональных данных без согласия субъекта передал их третьему лицу, в результате чего лицу были причинены физические и нравственные страдания (моральный вред). Такие иски, как правило, связаны с незаконным использованием таких персональных данных, как ФИО, реквизитов (копии) паспорта, адреса места жительства в целях получения кредитов третьими лицами.

Так в деле по иску А. к АО «ОТП Банк» о взыскании морального вреда в размере 500 000 рублей за незаконную обработку персональных данных ответчиком и лицами, которым были переданы персональные данные ответчиком, суд частично удовлетворил требование ответчика и взыскал с АО «ОТП Банк» 10 000 рублей морального вреда (Апелляционное определение Московского городского суда от 02 августа 2017 года по делу № 33-150/2017).

Истцом оспаривалась ничтожность кредитного договора, который был заключен без его участия третьим лицом по незаконно полученной копии паспорта.

Суд установил, что действительно, кредитный договор был подписан неустановленным лицом, Банк, в нарушение ст. 820 ГК РФ и ч. 1 ст. 9 ФЗ «О персональных данных» не удостоверился надлежащим образом в действительности и подлинности персональных данных истца и передал его персональные данные третьему лицу в ООО «***», как лица получившего кредит и имеющего кредитную задолженность.

Суд указал, что АО "ОТП Банк", действуя как лицо, осуществляющее предпринимательскую деятельность на свой риск, в силу закона было обязано с достоверностью установить подлинность передаваемых (полученных) персональных данных, их соответствие на предмет наличия кредитной задолженности, принять все меры осмотрительности, убедиться в том, что персональные данные истца соответствуют персональным данным лица, заключившего кредитный договор и имеющего кредитную задолженность. Таким образом, Банк, не исполнив требования действующего законодательства, нарушил неимущественные права истца на охрану его персональных данных, что в силу приведенных выше норм закона является основанием для взыскания с ответчика денежной компенсации морального вреда.

В другом аналогичном деле суд взыскал с ОАО «АЛЬФА-БАНК» в пользу гражданина Б. сумму в размере 8 000 рублей морального вреда в связи с тем, что Банк распространял и передавал третьим лицам без согласия гражданина его персональные данные для взыскания несуществующей просроченной задолженности по кредиту, которая ранее была своевременно погашена Б. (Решение Дмитровского районного суда г. Костромы от 12.12.2017 г. по делу № 2-727/2017).

4. Уголовная ответственность за разглашение персональных данных предусмотрена ст. 137 Уголовного кодекса РФ (УК РФ) – нарушение неприкосновенности частной жизни, которая предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении в виде штрафа от 200 000 рублей до лишения свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет (ч. 1 ст. 137 УК РФ). А те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают максимальное наказание вплоть до лишения свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Как видно из данной нормы УК РФ для привлечения к уголовной ответственности по ч. 1 и 2 ст. 137 УК РФ, достаточно совершить в нарушение закона (без установленной процедуры обращения с персональными данными (ПД) и без согласия субъекта) действия по сбору персональных данных или их распространить, в том числе публично, т.е. в данном случае неважно, наступили ли для субъекта ПД какие-либо последствия такого незаконного разглашения.

Так приговором Соликамского городского суда Пермского края от 16.11.2011 г. по Делу № 1-511/2011 подсудимая Р. была признана виновной в совершении преступлений, предусмотренных ч. 2 ст. 137 УК РФ и ч. 2 ст. 138 УК РФ, так как она с использованием служебного положения незаконно осуществляла сбор и распространение сведений о частной жизни лиц, составляющих их личную тайну без их согласия. Суд установил, что Р., используя базу данных телефонных сетей, принадлежащую ее работодателю незаконно, получила и разгласила информацию о телефонных сообщениях и звонках между ФИО 1 и ФИО 2, путем передачи такой информации в отпечатанном и устном виде, а также в ходе телефонных переговоров передавала сведения о личных персональных данных граждан (ФИО, год рождения, место регистрации, паспортные данные, данные детализации соединения) без ведома и согласия этих граждан. Суд приговорил Р. по ч. 2 ст. 137 УК РФ сроком на 8 месяцев лишения свободы (условно) с лишением права занимать должности в предприятиях связи, связанные с доступом к персональным данным клиентов на срок 1 год. При этом гражданские иски потерпевших физических лиц, чьи персональные данные незаконно разглашались были удовлетворены в счет возмещения морального вреда, причиненного преступлением – в пользу каждого потерпевшего с Р. было взыскано 3 000 рублей.

Свяжитесь с нами

+7 (925) 011-97-59

г. Москва, Средний каретный переулок, д.6/9, адвокатская контора №5 МГКА

info@shvarcer.ru