Раздел 5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии со статьей 24 Закона о персональных данных и статьей 17 Закона об информации лица, виновные в нарушении требований к защите персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Необходимо иметь в виду, что за нарушение законодательства о персональных данных ответственность будут нести лицо, допустившее нарушение (единоличный исполнительный орган), и организация в целом.
В соответствии со ст. 13.11Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ(далее-КоАП РФ) нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:
- на граждан - от 300 до 500 руб.;
- на должностных лиц - от 500 до 1000 руб.;
- на юридических лиц - от 5000 до 10 000 руб.
Так же, исходя из смысла ст. 90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.
На основании ст. ст. 2, 3, 5, 6 Закона о персональных данных персональные данные относятся к информации, доступ к которой ограничен. В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- на граждан - от 500 до 1000 руб.;
- на должностных лиц - от 4000 до 5000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа.
Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также может быть основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Согласно пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника. Поскольку такое увольнение относится к увольнениям за нарушение трудовой дисциплины, то работник, разгласивший персональные данные, должен быть уволен с соблюдением процедуры, предусмотренной ст. 193 ТК РФ.
В случае если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности.
В соответствии со ст. 137 Уголовного кодекса Российской Федерации от 13.06.1996 № 63-ФЗ незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в сумме до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
Часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
В случае если в результате незаконного распространения информации о персональных данных работника последнему был причинен моральный вред, он подлежит возмещению работодателем. В свою очередь в соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь данное лицо к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
Кроме того, если работнику причинен имущественный ущерб или моральный вред, он может требовать привлечения к гражданско-правовой ответственности лица, ответственного за осуществление вышеперечисленных действий с персональными данными, виновного в нарушении норм, регулирующих хранение, обработку и использование персональных данных работника, допущенного
В соответствии со ст. 151 Гражданского кодекса Российской Федерации (далее - ГК РФ), если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в иных случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. Согласно ч. 2 ст. 1099 ГК РФ моральный вред, причиненный действиями (бездействием), нарушающими имущественные права гражданина, подлежит компенсации в случаях, предусмотренных законом. На основании ст. 152 ГК РФ гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.
Раздел 6. СИСТЕМА ГОСУДАРСТВЕННОГО КОНТРОЛЯ (НАДЗОРА) В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Система государственного контроля (надзора) в области персональных данных строится на функционировании трех регуляторов, ответственных за определенные области деятельности в сфере персональных данных.
Основным регулятором, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, является уполномоченный орган по защите прав субъектов персональных данных - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), территориальные органы которой действуют в каждом субъекте РФ. Права и обязанности этого уполномоченного органа устанавливаются положением о нем в соответствии со ст. 23 Закона о персональных данных.
Вторым регулятором, осуществляющим контроль за осуществлением мер по технической защите информационных систем обработки персональных данных, является Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ее территориальные органы.
Третьим регулятором является федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, - Федеральная служба безопасности (ФСБ), которая устанавливает особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах и осуществляет контроль в этой области.
Кроме того, следует иметь в виду, что федеральная инспекция труда, представляющая собой в соответствии со ст. 354 ТК РФ единую централизованную систему, состоящую из федерального органа исполнительной власти и его территориальных органов (государственных инспекций труда), является уполномоченным органом на проведение государственного контроля (надзора) за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в том числе по вопросам соблюдения требований трудового законодательства в области защиты персональных данных работников.
Часть II. ОФОРМЛЕНИЕ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
РАБОТНИКОВ