Нарушение закона о персональных данных


Последнее обновление Ноябрь 2019


Проблема защиты персональных данных (далее также — ПД, перс.данные) актуальный вопрос. Халатное отношение к сведениям о своей персоне, незаконные действия по использованию личной информации со стороны посторонних лиц опасна не только назойливыми звонками и рассылками на электронную почту, но и реальной угрозой мошенничества и прочих злоупотреблений. Уже 12 лет работает закон, который предоставляет определенные гарантии для защиты личного пространства. Как его применить, насколько он эффективен, какова ответственность за разглашение персональных данных, рассмотрим в статье.


Что такое персональные данные

Это данные о конкретном человеке, которые характеризуют его, индивидуализируют. Как правило, такая информация включает в себя следующее:нарушение закона о персональных данных

  • ФИО;
  • Дата, место рождения;
  • Национальность;
  • Место жительство (фактическое или по прописке);
  • Паспортные данные;
  • Сведения о работодателе;
  • Образование, профессия;
  • Размер доходов, в том числе заработная плата;
  • Имеющееся имущества (движимое/недвижимое), в том числе банковские карты;
  • Родственные связи;
  • Физиологические данные (пол, рост, вес, цвет волос);
  • Наличие хронических болезней, физических аномалий;
  • Сведения о судимости, фактов привлечения к административной ответственности;
  • Отношение к религии;
  • Номер телефона и адрес в соцсетях;
  • Сфера увлечений и прочее.

Вообще ПД может быть любая информация, так или иначе выделяющая человека среди других. То есть всё, что касается конкретной персоны и есть ПД. По большому счету человек сам определяет, что для него, соответственно, и для всех будет перс.данными.

Но есть мнение у ряда специалистов, что в ПД входит лишь шесть элементов: фамилия, имя, отчество, дата рождения, место рождения и пол. Но это весьма спорно.

Где накапливаются

Характеристики о гражданине концентрируются на разных информсборниках (материальные носители), это может быть бумажные анкеты, карточки, учетные листы, фото-текстовые материалы либо компьютерная база, автоматизированные сводные данные и многое другое.

ПД формируются:

  • муниципальными и государственными службами — МФЦ, Соцзащита, Центр занятости, местные администрации и их отделы, комитеты, департаменты (обращение за пособиями, выплатами, подача прочих заявлений);
  • банками при получении кредита, участие в качестве поручителя;
  • судами по рассматриваемым делам с участием гражданина;
  • правоохранительными органами, если человек фигурирует в проверках (дает показания, предъявляется обвинение и т.п.);
  • ГИБДД при регистрации ТС;
  • Росреестром в связи с регистрацией сделок с недвижимостью;
  • работодателями в процессе трудоустройства;
  • Интернет-магазинами во время заказа услуг, товаров;
  • УК, ТСЖ, ЕРИЦ, региональными операторами при начислении коммунальных платежей, вносов на капремонт, плата за ТБО.

Все эти организации и учреждения носят название операторы по работе с перс.данными (далее также - Оператор).

Как накапливают

Сведения предоставляются самим человеком (субъектом ПД), либо путем получения их от других организаций и ведомств, либо из открытых источников (из страничек соц.сетей, объявлений в СМИ, прочее).

Какие манипуляции

Оборот ПД детально описан в ФЗ 152 от 27.07.2006 г. и представляет из себя такие действия, как:

  • Сбор. Это получение сведений каким-либо органом, учреждением, организацией;
  • Хранение. Нахождение информации в помещениях сборщика ПД или специализированных организаций (в шкафах, сейфах, стеллажах - если бумажная информация, на компьютерах, серверах, лазерных дисках – если сведения автоматизированы), которое охраняется и ограничен доступ посторонним лицам.
  • Обработка. Компоновка, систематизация по картотекам, автоматизированным базам. А также актуализация данных, удаление неточностей, подобное.
  • Передача. Предоставление полностью или части по запросам, в порядке служебного или профессионального взаимодействия. При этом могут передавать как картотеки, базы полностью (без оставления данных у себя), так и выписки, справки, копии материалов.
  • Раскрытие. То есть создание условий для обзора информации кем угодно (неограниченного круга людей). В том числе распространение через Интернет, СМИ и т.п.
  • Уничтожение. Физическая ликвидация носителя информации. Это когда стираются компьютерные файлы, удаляются Интернет-ссылки, утилизируется папки бумаг с материалами, подобные действия.

Чего следует опасаться гражданину

Утечка информации может привести к, мягко говоря, неприятным последствиям:

  • огласка посторонним лицам частных (приватных) фактов из жизни человека, которые компрометируют личность, влияют на репутацию, прочее;
  • угроза разглашения определенных обстоятельств заинтересованным в этом лицам, от которых гражданин скрывает информацию (шантаж);
  • различные мошеннические действия, направленные на завладение имуществом, деньгами;
  • незаконный доступ к банковским карточкам, счетам с целью хищения финансов;
  • хулиганские действия, наиболее часто распространены в Интернет-среде, например, передача данных для рекламных рассылок;
  • попытки переложить ответственность за неправомерные действия злоумышленником, путем создания видимости причастности к такой деятельности гражданина;
  • получение на имя человека кредитов, займов;
  • открытие на гражданина фирм-однодневок;
  • ухудшение социального статуса, что может понизить авторитетность как потребителя, например, как потенциального заемщика.

Обсуждение проблем реализации закона о персональных данных, плюс технологии и советы от экспертов по защите ПД смотрите на видео:

Ответственность за разглашение и другие нарушения закона о персональных данных

Многие люди навскидку считают, что все виды ответственности сводятся к наказанию за передачу персональных данных третьим лицам. Но это далеко не так, вопрос намного серьезнее. Закон выделяет множество действий, которые пресекаются и административными, и уголовными, и гражданскими, и дисциплинарными мерами.

Уголовная

Наиболее суровая ответственность предусмотрена уголовным кодексом. Имеется несколько статей, которые запрещают манипуляции с личными данными человека.

Хакерство в отношении личных данных граждан, статья 272 УК РФ. То есть проникновение в автоматизированные базы, файлы, прочие компьютерные системы. При этом такое действие (попытка) приводит к порче информации (уничтожение/блокирование/искажение), либо совершается её копирование. За это могут назначить штраф (до 200 тыс. руб.), исправ.работы. Судебная практика даже знает случаи реального лишения свободы до 2 лет.

Необоснованный отказ в предоставлении информации о гражданине. Чиновники гос/муниципальных органов, работающие с ПД, по требованию гражданина обязаны (за редким исключением, например, когда ведется следствие или оперативная проверка сотрудниками полиции) сообщить сведение, касающиеся его. Статья 140 УК РФ. Непредставление материалов, а равно как предоставление их в искаженном виде, карается штрафом до 200 тыс. руб., либо лишением должности от 2 до 5 лет.

Уголовная ответственность за разглашение персональных данных гражданина, статья 137 УК РФ. Речь идет о следующих случаях:

  • незаконное собирание и разглашение (без согласия лица) фактов, составляющих личную/семейную тайну персоны;
  • оглашение личной/семейной тайны человека в СМИ, в открытом выступлении;
  • публичная огласка персоналий несовершеннолетнего, участвующего в уголовном деле.

Указанные действия наказываются денежной санкцией до 300 тыс. руб., а также заключением до 5 лет.

Административная

Несанкционированные действия с личными сведениями предусматривают также наказание по статьям КоАП РФ. Кончено, эти действия не такие вероломные, как в случае с уголовными преступлениями. Поэтому и порицание более снисходительное. Собственно, статей всего 3 (5.39, 13.11, 19.7), однако неправомерных действий кодекс предусматривает куда больше.

Полную картину можно увидеть в таблице:

ответственность за нарушение закона о персональных данных

Как видно, ответственность в основном выражается штрафом за нарушение требований закона о защите персональных данных. Но по некоторым статьям есть альтернативная мера – предупреждение.

Гражданская

Человека чаще беспокоит не сам факт вторжения в его личное пространство, а последствия. Таковыми могут быть подпорченная репутация, нравственные переживания и даже имущественный ущерб.

Эти вопросы регулируются путем обращения в суд в порядке гражданского производства.

Гражданское дело можно инициировать одновременно с уголовным/административным разбирательством или после его окончания, когда виновного привлекут к ответственности.

Встречаются ситуации, когда есть факт информационного нарушения, есть возникший вред, но нет состава уголовного или административного нарушения. Тогда можно подавать независимый гражданский иск за разглашение персональных данных.

В рамках гражданского судопроизводства нужно будет доказать факт несанкционированных манипуляций с личными сведениями истца, а также какие негативные последствия (в чем выражается моральный ущерб, как возникли убытки, их размер, пр.).

Дисциплинарная

В основном речь идет о трудовых отношениях. Где оператором по работе с ПД являются работодатель в лице руководителя или работника отдела кадров. Субъект ПД – работник.

Для работодателя имеются множественные ограничения по использованию индивидуальных сведений о работнике. Нарушение норм, регулирующих обработку и защиту персональных данных работника сводятся к следующему:

  • отказ работнику в доступе к его данным, в том числе не предоставление копии труд.книжки и прочих документов;
  • не исправление неверных сведений о работнике по его требованию или при обнаружении ошибок, неточностей кадровиком (другим ответственным лицом);
  • не установления режима конфиденциальности в отношении работника внутри организации. То есть не закрепление специального лица (как правило, кадровика) по работе с указанной информацией и оставления возможности видеть её любым другим работником;
  • злоупотребление статусом работодателя для истребования известий от учреждений, органов и организаций. То есть получение фактов, которые не являются необходимыми для работодателя. Например, сведения о состоянии здоровья;
  • передача персоналий посторонним лицам, минуя разрешение работника;
  • получать индивидуальные и характеризующие материалы от работника, а если сбор будет из других источников, то необходимо получить одобрение трудящегося;
  • объем материалов о трудящемся должен ограничиваться необходимостью определения трудовых обязанностей, обеспечения безопасности работающего, продвижения по карьерной лестнице, обеспечения сохранности материальной базы работодателя;
  • отсутствие защиты персоналии работающих лиц надежными средствами способами;
  • не осведомление своих трудящихся о порядке, режиме оборота ПД, правах и обязанностях работника в указанной сфере.

Указанные нормы предусмотрены статьями 86, 88, 89, 90 Трудового кодекса РФ.

За нарушение правил кадровику (или того лица, кто занимается кадровым учетом) могут сделать замечание, объявить выговор, допускается даже увольнение. А если действия привели к ущербу для трудящегося, то можно призвать к более строгой ответственности.

Как защитить свои данные

Следует постоянно думать о сохранности личных сведений. Эксперты утверждают, что забота о ПД – в первую очередь финансовая, имущественная безопасность. Самая опасная среда, где распространяются личностные материалы это Интернет. За 2019 году по предварительным подсчетам было установлено около 500 млн. попыток хищения перс.данных.

Меры предосторожности в Интернете

Нужно знать самому и предупреждать об этом своих детей и близких знакомых о таком правиле:

  • не выкладывать снимки из паспорта, фотографии, которые можно использовать для шантажа, а также свои анкетные характеристики;
  • не знакомиться с неизвестными людьми в соц.сетях, через электронную почту, не обсуждать в чатах и на форумах приватные стороны своей жизни и членов семьи, планы о покупках, отпусках, пр.

Если же Вы обнаружите свои персоналии на каком-либо сайте, необходимо сообщить об этом администратору, модератору или владельцу веб-ресурса (отправить электронное письмо по реквизитам сайта). То есть требовать, чтобы сведения удалили или хотя бы обезличили.

Поговорите с детьми, покажите им это видео с открытым уроком о защите своих персональных данных в Интернет-сети:

Когда такое требование оставят без внимания, подается жалоба в Роскомнадзор или прокуратуру за бездействие. Примерный образец заявления в прокуратуру за разглашение персональных данных выглядит так.

Сотовая связь

Уже стало обычным явлением получать массу звонков из кол.центров, банков, страховых компаний с предложениями пройти анкетирование, выразить мнение о чем-нибудь, внести вклад в статистические исследования, или принять выгодную оферту.

Часто звонящие интересуются определенными частными сведениями, которые не рекомендуется сообщать.

А если незнакомые звонящие лица уже знают Ваше имя и фамилию (или больше деталей о персоне), то следует выяснить от какой организации звонок и какой её адрес. После нужно написать в эту компанию запрос о том, из каких источников получена информация о Вас, какой её состав и потребовать её уничтожить.

А мошенники, так вовсе просят номера банковских карт, пороли от личных кабинетов, другое.

Нужно понимать, что по телефону незнакомым лицам вообще не следует сообщать никакой информации, если не Вы инициатор звонка (когда знаете куда звоните и для решения какого вопроса).

Сторонние учреждения/организации

Часто в МФЦ, банках, страховых компаниях норовят при любом обращении гражданина сделать копии личных документов для делопроизводства. Нельзя давать для копирования свой паспорт, СНИЛС, свидетельства (о рождении, о браке и т.п.), только предъявлять визуально. Допускается отступление от этого правила в исключительных случаях, если предоставление копий предусмотрено законом.

Распространенная практика, когда при заключении сделок (получение кредита и других финансовых продуктов, в частности) факт подписания договора фиксируют на видео, фотографируют на форе развернутого паспорта, тому подобное.

Рекомендуется после заключения и успешного исполнения сделки писать заявление об уничтожении таких перс.сведений, так как в них более нет надобности. Ведь цель, для которой информация получалась, достигнута.

Если будет отказ, то следует сообщить об этом в контролирующие и правоохранительные органы.

Работодатель

Нужно быть внимательным к тому, как работодатель относится к Вашим ПД. Это отношение должно быть бережным. Если Вы замечаете, что постоянно имеется утечка в кругу работников или за пределы предприятия, то начальству нужно жаловаться на нарушение конфиденциальности персональных данных. Тем самым, добиваться более серьезного отношения к информации.

Законные способы получения и использования данных

Самый известный и распространенный способ сбора, хранения и распространения ПД – это дача согласия человека на работу с его данными Оператору.

Такое согласие дается добровольно, в письменном виде и в любой момент может быть отозвано самим человеком. В последнее время всё чаще приходится сталкиваться с тем, что к любому пакету документов (при разного рода обращениях в государственные и муниципальные учреждения) добавляют согласие на обработку ПД.

Можно ли не давать согласие?

Наверно, многих мучил вопрос: будут ли неблагоприятные последствия, если не давать согласие на обработку ПДн? А ведь такие ситуации сплошь и рядом: например, человек обращается в МФЦ для выдачи пособия, встает в центр занятости на учет, оформляется на работу, подает в банк заявку на получение кредита, идет в стоматологическую клинику за услугой, заключает договор на оказание услуг связи, прочее.

Так вот согласие на использование ПД никак не влияет на достижение указанных целей. Отказ от подписания уведомления на ПД не является основанием для отказа в предоставлении услуг, заключении договора. Просто оператор ПД может использовать полученные сведения только и исключительно в целях обращения гражданина.

А согласие просят, чтобы лишний раз оградить себя от ответственности за нарушение закона о персональных данных перед Роскомнадзором, который курирует вопросы оборота перс.данных.

Поэтому, когда Вам дадут на подпись бланк согласия, можно отказываться от его подписания. А лучше потребовать, чтобы в этом бланке обозначили состав ПД, конкретные цели для чего оно берется.

Когда не требуется согласие

Вообще есть ситуации, когда согласие вовсе не требуется. То есть получатель информации может без предупреждения накапливать её и использовать, что не будет считаться незаконным использованием персональных данных. Такое возможно в следующих случаях:

  • ведение судебного спора (гражданский, административный, уголовный, прочее);
  • при исполнительном производстве у судебных приставов;
  • в отношениях между работником и работодателем касаемо трудовых функций;
  • при заключении договоров о предоставлении (займов, кредитов), а также поручительства по ним;
  • по гражданско-правовым договорам, где субъект ПД является стороной сделки (покупатель, заказчик и пр.) и они нужны для надлежащего исполнения сделки;
  • в ходе журналисткой деятельности;
  • для выполнения функций гос/муниципальных органов при оказании услуг, реализации прочих задач в социально-общественной сфере;
  • в ситуациях, когда гражданину нужно оказать срочную помощь (в том числе медицинскую), ликвидировать источник общественной опасности, если получить согласие затруднительно;
  • проведение научно-статистических и исследовательских мероприятий, при этом материалы обезличиваются;
  • когда информация о человеке является открытой, размещена им же в публичных источниках, например, в сети Интернет.

Естественно, использование перс.данных в перечисленных случаях должно быть направлено на те цели, в соответствии с которыми возникла необходимость.

Как избежать наказания оператору

Самая большая опасность привлечения к ответственности направлена на собственников веб-сайтов в Интернете (где предусмотрена обратная связь с посетителями - есть форумы, формы запросов и т.п.), Интернет-магазинов, работодателей, компании, оказывающие услуги открытому кругу лиц, подобное.

Таким операторам нужно предпринять как минимум несколько мер.

  1. Разработать документ – «Политику о конфиденциальности личных данных».
  2. Назначить ответственное лицо по сбору, обработке и защите перс.данных. Приказом (распоряжением) предусмотреть четкие санкции и ответственность за распространение персональных данных без согласия владельца.
  3. В сайтах установить специальные формы подтверждения согласия на сбор/обработку ПД при посещении сайта.
  4. Работодателем и исполнителем услуг (продавцом товаров) оборудовать помещения специальными хранилищами для документов (сейфы, усиленные шкафы), установить охранную сигнализацию.
  5. Устанавливать электронные средства защиты автоматизированных баз (антивирусные программы, специальный режим работы компьютерных средств).
  6. Получать согласия от граждан, чьи перс.данные находятся в обработке.
  7. Направить уведомление в Роскомнадзор, если такая обязанность есть у обработчика данных, как оператора.
Если у Вас есть вопросы по теме статьи, пожалуйста, не стесняйтесь задавать их в комментариях. Мы обязательно ответим на все ваши вопросы в течение нескольких дней.

Наши партнеры - юридическая компания ответит на ваш вопрос в течение 15 минут

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Комментарий появится на сайте после прохождения модерации, не нужно отправлять его несколько раз. Нажимая кнопку «Отправить комментарий», вы соглашаетесь с условиями Политики в отношении персональных данных и Пользовательским соглашением.