Нарушения по персональным данным, за которые с 1 июля 2017 новые штрафы

Признаки уголовно наказуемого деяния по статье 137 УК РФ

Согласно диспозиции ст. 137 УК РФ уголовная ответственность за разглашение персональных данных наступает в случае, если одновременно имеют место:

• незаконность сбора и (или) распространения информации;
• отсутствие согласия ее носителя на сбор или разглашение. 

При этом норма предусматривает так называемую альтернативную диспозицию, признавая уголовно наказуемым, помимо указанных выше действий, также распространение сведений о частной или семейной жизни человека посредством СМИ, в публичном выступлении или публично демонстрирующемся произведении (в том числе художественном).

Иными словами, публичность не является обязательным признаком преступления, это всего лишь его частный случай. Для наступления уголовной ответственности достаточно передачи конфиденциальных данных 1 лицу.

На этот счет существует весьма обширная судебная практика. В частности, апелляционным определением судебной коллегии по уголовным делам Тамбовского областного суда от 20.08.2015 по делу № 33-2375/2015 оставлен без изменения обвинительный приговор по ч. 2 ст. 137 УК РФ в отношении врача-нарколога, сообщившего сведения о диагнозе пациента третьему лицу. 

Квалифицирующие признаки 

Отягченные составы ст. 137 УК РФ содержатся во 2-й и 3-й ее частях.

Так, ч. 2 предусматривает ответственность за разглашение конфиденциальной информации о личности лицом, использовавшим для этого свое служебное положение. В качестве примера вновь можно привести врача, нарушившего врачебную тайну.

Для квалификации преступления по ч. 2 ст. 137 УК РФ решающее значение имеет содержание нормативно-правовых актов, регламентирующих профессиональную деятельность виновного. Например, в силу ФЗ «Об охране здоровья граждан в РФ» от 21.11.2011 № 323-ФЗ врачебную тайну составляют абсолютно любые данные об обращении за медицинской помощью, диагнозе, ходе и результатах обследования и лечения и т. д. 

Важно! Соблюдать эти сведения в тайне обязаны все лица, располагающие ими в связи с исполнением своих служебных обязанностей. То есть наказать за незаконное разглашение такой информации можно не только врача, но и любого другого сотрудника медучреждения, включая средний и младший медперсонал. . Ч

3 ст. 137 УК РФ содержит санкции за разглашение данных о несовершеннолетних, которым не исполнилось 16 лет. Однако возраст потерпевшего — не единственное условие для наступления ответственности по этой части нормы. Квалификация зависит от характера распространенной информации, способа и последствий ее разглашения

Ч. 3 ст. 137 УК РФ содержит санкции за разглашение данных о несовершеннолетних, которым не исполнилось 16 лет. Однако возраст потерпевшего — не единственное условие для наступления ответственности по этой части нормы. Квалификация зависит от характера распространенной информации, способа и последствий ее разглашения.

Так, в качестве обязательного признака ч. 3 ст. 137 УК РФ предусматривает разглашение сведений о подростке посредством СМИ, публичного выступления, информационно-телекоммуникационных сетей (включая интернет). При этом распространяемая информация должна выражаться в описании страданий несовершеннолетнего, понесенных им в связи с совершением в отношении него преступления, или нести иные сведения по уголовному делу, в котором подросток выступает одной из сторон.

И еще одно обязательное условие: в результате нарушения неприкосновенности частной жизни ребенку был причинен физический или моральный вред (психическое расстройство, вред здоровью) либо наступили другие тяжкие последствия. 

У судов нет единой позиции по поводу формулировки «иные тяжкие последствия»:

• Так, например, Верховный суд Республики Саха (Якутия) в своем апелляционном постановлении от 22.12.2015 № 23-2013 счел верной квалификацию действий подсудимого по ч. 3 ст. 137 УК РФ в ситуации, когда последствия разглашения информации о несовершеннолетнем выразились в причинении значительного ущерба его законным представителям.
• В то же время апелляционное определение Архангельского областного суда от 16.11.2015 № 15-2015 содержит диаметрально противоположный вывод относительно практически аналогичного случая. Апелляционная инстанция переквалифицировала действия фигуранта на ч. 1 ст. 137 УК РФ. 

Ответственность работодателя за нарушение норм регулирующих защиту персональных данных

Законодательством РФ предусмотрено несколько видов ответственности. Нередко к ней привлекают работодателей, так как именно они имеют доступ к личным данным своих работников и могут использовать их в своих целях. Такое преступление будет иметь квалифицирующий признак «использование должностных полномочий», что является отягчающим обстоятельством.

Дисциплинарная ответственность

В качестве дисциплинарной ответственности Трудовым кодексом РФ предусмотрены следующие меры:

• Предупреждение.
• Выговор.
• Увольнение.

В отношении работодателя, то есть непосредственно директора предприятия, применить такие меры на практике непросто, поскольку сам себя он не уволит.

Материальная ответственность

Помимо уже упомянутого иска в гражданский суд о привлечении к ответственности за разглашение персональных данных и взыскании материального ущерба, после жалобы в Инспекцию по труду, работодателя могут оштрафовать по решению данного органа.

Административная ответственность

Данный вид ответственности применяется на основании статьи КоАП 13.11. Размер штрафных санкций в рамках этой статьи зависит от того, кто является нарушителем закона:

• Гражданина могут оштрафовать на сумму до 3 тысяч рублей.
• Должностное лицо – до 10 тысяч.
• Юридическое лицо – до 75 тысяч рублей.

Размер штрафа определяется с учётом обстоятельств дела и размера причинённого ущерба.

Всего в статье 13.11 КоАП РФ семь частей:

• Часть первая рассматривает запрос и обработку данных, когда этого не требует закон.
• Часть вторая – обработку данных без письменного согласия владельца.
• Часть третья – нарушение норм обработки лицом, которое её выполняет с разрешения правообладателя данных.
• Часть четвёртая – нарушение правил передачи данных или информации об их обработке субъекту.
• Часть пятая – нарушение сроков работы с данными.
• Часть шестая касается нарушений, которые привели к утечке информации случайно или умышленно или к иному нарушению безопасности работы с ней.
• Часть седьмая рассматривает нарушение закона о персональных данных, совершённое сотрудниками муниципальных или государственных органов.

Такая детальная классификация данного рода нарушения позволяет точно определить конкретные санкции, которые могут быть применены к нарушителю.

Уголовная ответственность

К уголовной ответственности за разглашение персональных данных могут привлечь по статье 137 УК РФ «Нарушение ».

За это могут наказать:

• Штрафом до 200 тысяч рублей (или в размере дохода за полтора года).
• Обязательными работами на 360 часов.
• Исправительными работами на год.
• на 2 года.
• Арестом на 4 месяца.
• Лишением свободы до 2 лет.

Вторая часть 137 статьи рассматривает те же преступления, если они были совершены с использованием служебного положения.

За это предусмотрены санкции:

• Штраф от 100 до 300 тысяч рублей.
• Принудительные работы до 4 лет.
• Полгода ареста.
• Лишение свободы до 4 лет.
• Запрет заниматься определённым видом деятельности до 5 лет.

Третья часть данной статьи рассматривает распространение персональных данных несовершеннолетних, а также путём причинения значительных моральных или физических страданий.

Накажут виновного:

• Штрафом на сумму 150-300 тысяч рублей (доход за 3 года).
• Принудительными работами на 5 лет.
• Арестом на полгода.
• Лишением свободы до 5 лет.
• Запрет на осуществление определённой деятельности в течение 6 лет.

На самом деле защитить свои персональные данные не так уж сложно. Памятка на эту тему:

Что еще можно требовать?

Многих граждан, чьи личные сведения были разглашены, совсем не устраивает стандартное наказание, которое может быть назначено за подобное преступление. В связи с этим пострадавший имеет полное право подать на обидчика в суд, потребовав у него выплаты компенсации. При этом требовать можно исключительно компенсацию за моральный ущерб, так как при разглашении сведений физического вреда не наступает.

Компенсация за моральный ущерб – понятие достаточно сложное. Это денежное взыскание, которое пострадавший может требовать за причиненные ему страдания и неудобства, вызванные разглашением его персональных данных или личных сведений. Потребовать её можно как во время разбирательства, подав ходатайство, так и с помощью отдельного самостоятельного иска. При этом размер её определяете вы сами, но он может быть уменьшен как по требованию суда, так и по просьбе ответчика. Если вы хотите подавать требования о выплате компенсаций за моральный ущерб, то полезным будет помощь юриста – только он сможет установить точный размер и подготовить бумаги.

Непредоставление сведений субъекту об обработке его ПДн

В отдельную группу нарушений можно условно выделить те, что допускает управляющая организация при взаимодействии с субъектом ПДн. Собственник или наниматель помещений, чьи личные данные обрабатывает УО в рамках исполнения договора управления, имеет право:

• получать сведения, касающиеся любых действий с такими сведениями;
• уточнять или просить внести исправления в ПДн;
• требовать блокировать или уничтожить его персональные данные, если они неполные, устаревшие, неточные, получены оператором незаконно или не являются необходимыми для заявленной цели обработки.

Согласно ч. 7 ст. 14 № 152-ФЗ, субъект ПДн имеет право получать следующую информацию:

• наименование и адрес оператора ПДн;
• подтверждение факта обработки его личных данных;
• на каких основаниях и с какой целью его ПДн обрабатываются;
• источник получения его ПДн;
• сроки обработки и хранения ПДн;
• применяемые оператором способы обработки;
• сведения о лицах, допущенных к его ПДн;
• информация о передаче данных третьим лицам.

Например, если собственник обратился в УО с просьбой предоставить ему информацию о том, кому и когда были переданы его персональные данные и с какой целью, то управляющая организация обязана ответить на такой запрос. В ином случае, согласно ч. 4 ст. 13.11 КоАП РФ, её могут оштрафовать на сумму от 20 000 до 40 000 рублей.

Или, например, собственник обратился в УО с требованием уничтожить его персональные данные в связи с тем, что он продал квартиру в доме и более не является стороной договора управления таким МКД. Если у такого собственника нет долгов перед УО, то управляющая организация обязана уничтожить его персональные данные и перестать совершать с ними какие-либо действия. В ином случае – штраф от 25 000 до 45 000 рублей, предусмотренный ч. 5 ст. 13.11 КоАП РФ.

Административная ответственность

Ответственность лиц, которые допустили или сами участвовали в разглашении информации, относящейся к личным данным, может рассматриваться как административным кодексом, так и уголовным.

Административная ответственность определяет моменты, касающиеся разглашения данных относительно личности, которые не подлежат огласке. Сюда могут относиться данные паспорта, личные идентификационные данные, сведения о состоянии здоровья. При отсутствии особых последствий, к которым привело распространение или утечка информации, уголовная ответственность не предусмотрена – подобные ситуации рассматривает Административный кодекс – статья 13.11.

Данная статья «Нарушение законодательства РФ в области персональных данных» состоит из 7 частей, каждая из которых определяет различную степень вины и, как следствие, разную степень несения ответственности при признании лица виновным. Так, возможно применение следующих видов наказания:

• Ч1. Относится к противоправным действиям, заключающимся в запросе и обработке персональных данных без наличия такой необходимости и против воли держателя такой информации. Карается вынесением предупреждения и наложением штрафа для граждан до 3 тысяч рублей, должностных лиц до 10 тыс. рублей, юридических до 50 тыс. рублей;
• Ч2. Предусматривает сбор и обработку персональных данных без наличия законных оснований на это. В качестве наказания применяется штраф до 5 тыс. рублей для граждан и до 70 тыс. рублей для организации;
• Ч3. Относится к невыполнению лицом, которое занято на обработке данных, установленных правил по опубликованию информации и обеспечению доступа к ней или ограничению. Физ. лица в такой ситуации уплачивают штраф в размере от 700 до 1700 рублей, должностные лица наказываются штрафом от 3 до 6 тыс. рублей, организации – от 15 до 30 тыс.;
• Ч4. Описывает действия оператора по отношению к его обязанностям предоставления данных персонального характера или сведений субъектам для их обработки. Физ. лица могут выплачивать штраф от 1 до 2 тыс. рублей, должностные от 4 до 6 тыс. рублей, юр. лица – от 20 до 40 тыс. рублей;
• Ч5. Относится к тем противоправным действиям, которые касаются нарушения сроков обработки сведений, их хранения и норм уничтожения. Наказанием является оплата штрафа размером до 2 тыс. рублей с физических лиц, для должностных до 6 тыс. рублей, для организаций до 40 тыс. рублей;
• Ч6. Относится к тем нарушениям, которые приводят к распространению личных данных. Причем такое действие может носить как умышленный характер, так и произойти по причине ошибки кого-либо из сотрудников организации, в которой такие данные хранились. Наказанием может служить штраф до 2 тыс. рублей для граждан, до 10 тыс. рублей для должностных лиц и до 50 тыс. рублей для юридических;
• Ч7. Рассматривает нарушение норм законодательства в форме предоставления, обработки и хранения информации, что были допущены специалистами и сотрудниками муниципалитета или государственных органов власти. Наказанием служит необходимость выплаты штрафа в размере до 6 тысяч рублей.

Кто может осуществлять сбор, обработку информации?

Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.

Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.

В последних правках, внесенных в 2017 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей. Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22

Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.

Цель создания по закону

Закон декларирует свою цель как обеспечение защиты прав и свобод человека, неприкосновенности личной жизни и семейной тайны. Реестр предоставляет всем заинтересованным сторонам информацию о том, кто, в каких целях и какие данные граждан собирает, обрабатывает и хранит. Это позволяет более эффективно бороться с правонарушениями в данной области.

Кроме того, наличие ответственности за манипуляции со сбором персональных данных стимулирует операторов тщательно подходить к вопросам информационной безопасности. В 2015 году законодатель потребовал хранить данные только на серверах, размещенных на территории России, что, очевидно, было реакцией на ухудшение международной обстановки. Хранение данных на серверах направлено на усиление защиты персональной информации россиян от внешних посягательств.

Кто вносит изменения в перечень?

Изменения в реестр вносит Роскомнадзор на основании уведомления операторов. На рассмотрение представленной информации ведомству отводится 30 дней.

Сведения об операторах общедоступны, за исключением описания средств и мер безопасности, которые оператор применяет для защиты своих баз.

Нарушение четвертое

Обновленная часть 4 статьи 13.11 КоАП РФ звучит так: «Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей».

Статья 14 ФЗ «О персональных данных» предусматривает право субъекта обратиться к оператору персональных данных с целью получения информации, касающейся обработки его персональных данных. В свою очередь, статья 20 регламентирует обязанность оператора ответить на такое обращение субъекта в течение тридцати дней с даты получения запроса субъекта или его представителя. Сведения, которые оператор обязан предоставить субъекту, установлены в части 7 статьи 14 ФЗ «О персональных данных».

Нарушение второе

Часть 2 статьи 13.11 КоАП РФ (с 01.07.2017) гласит: «Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей».

Здесь также можно выделить два нарушения:

• обработка персональных данных без согласия в письменной форме в случаях, установленных законом;
• нарушение состава сведений в письменном согласии.

Здесь, прежде всего, необходимо обратить внимание на то, что нарушением будет являться именно обработка без согласия в письменной форме, когда такая форма требуется законодательством. Если такого требования нет, то согласие может быть дано в любой форме

Об этом нам говорит ФЗ «О персональных данных», а именно статья 9 пункт 1: «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».

В свою очередь, статья 9 пункт 4 гласит: «В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных».

Сам ФЗ «О персональных данных» содержит в себе шесть случаев, когда письменное согласие субъекта обязательно:

• часть 1 статьи 8;
• пункт 1 часть 2 статьи 10;
• пункт 5 части 2 статьи 10;
• часть 1 статьи 11;
• часть 4 статьи 12;
• часть 2 статьи 16.

В различных законодательных актах содержатся и другие случаи, когда письменное согласие субъекта является обязательным. Самым ярким примером является статья 88 Трудового кодекса Российской Федерации: «При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия.

Таких случаев передачи персональных данных работника может быть несколько десятков

Важно следить за ними и вовремя брать согласия

Что касается второго нарушения по этой норме, то в случаях, установленных законом, согласие должно быть не просто письменным, но и содержать в себе обязательные сведения, установленные законодательством. Перечень этих сведений установлен частью 4 статьи 9 ФЗ «О персональных данных». Часто бывают случаи, когда в согласии забывают указать способы отзыва согласия или, еще чаще, сведения о лице, которому оператор поручает обработку персональных данных.

Комментарий к статье 13.11 КоАП РФ

1. Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» информация о гражданах (персональные данные) определяется как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ч. 1 ст. 3 указанного Закона). Свойства данной информации — обеспечивать идентификацию конкретного лица — предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных (для статистических или иных научных целей), а также в отношении общедоступных персональных данных (ч. 3 ст. 6, ст. 7). Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.

Такая защита обеспечивается в первую очередь путем установления конституционного запрета осуществлять сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также требованием судебного решения для ограничения тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. ст. 23 и 24 Конституции РФ). Статьей 19 Конституции РФ запрещаются также любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.

Федеральный закон » О персональных данных» рассматривает согласие субъекта персональных данных на обработку сведений о его частной жизни в числе одного из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, включая информацию персонального характера.

Из данного основополагающего принципа согласия могут иметь место исключения, предусмотренные в законодательном порядке, в том числе в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, оперативно-розыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, а также в случаях, связанных с медицинскими и медико-профилактическими целями (п. п. 2 — 7 ч. 2 и ч. 3 ст. 10, ч. 2 ст. 11, п. п. 2 — 5 ч. 3 ст. 12 Федерального закона «О персональных данных»).

2. Комментируемая статья закрепляет в качестве основания применения административной ответственности нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Упомянутый Федеральный закон регулирует данный порядок, устанавливая принципы и условия обработки персональных данных (ст. 5, ч. 1 ст. 6; ст. ст. 9 — 13), обеспечивающие, в том числе порядок реализации права субъекта данных на согласие; порядок осуществления иных прав субъекта персональных данных, включая право на доступ субъекта к своим персональным данным (ст. 14); права субъекта данных при обработке его персональных данных (ст. ст. 15 — 16); право на обжалование действий или бездействия оператора (ст. 17); обязанности оператора по обработке персональных данных (ст. ст. 18 — 22).

3. Объектами административных правонарушений являются общественные отношения, складывающиеся в области защиты информации. Объективная сторона правонарушений состоит в нарушении норм федерального законодательства, регулирующих вопросы работы с информацией о гражданах (персональными данными).

4

Субъектами правонарушений могут быть граждане, должностные, юридические лица, умышленно или по неосторожности допускающие указанные нарушения

Законодательство РФ устанавливает обязанности представителей определенных профессий (врачей, адвокатов, нотариусов и др.) по сохранению в тайне полученной информации и указывает на уголовную, гражданскую и административную ответственность за разглашение таких сведений. УК РФ и ГК РФ предусматривают такую ответственность (см. ст. 137, 138, ст. 155 УК РФ, ст. 152 ГК РФ).

Помимо комментируемой статьи, КоАП РФ предусматривает также ответственность граждан и должностных лиц за нарушение правил защиты информации (ст. 13.12), за разглашение информации с ограниченным доступом (ст. 13.14), а также ответственность должностных лиц за отказ в предоставлении информации (ст. 5.39).

5. Дела о правонарушениях, предусмотренных комментируемой статьей, возбуждаются прокурорами (ч. 1 ст. 28.4) и рассматриваются судьями (ч. 1 ст. 23.1).