К особенности персональных данных следует отнести то, что данный вид информации охватывает многие виды тайн, представленных в различных федеральных законах, при этом осуществить адекватную оценку ущерба от неправомерного доступа к персональным данным представляется достаточно сложным.
Так для операторов нарушение конфиденциальности обрабатываемых персональных данных не только негативно сказывается на репутации, но и способно привести к гражданской, административной, и уголовной ответственностям, кроме того, потенциально возможно приостановление действия или аннулирование лицензии на право заниматься основным видом деятельности.
Первоочередная задача, стоящая перед операторами в части защиты персональных данных, заключается в рациональном и эффективном выполнении комплексных требований по защите персональных данных.
Так для начала, согласно закону о персональных данных № 152-ФЗ, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзора), операторы ПД должны выполнить ряд действий:
1. Направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных (ст. 22 п. 3)
2. Получить письменное согласие субъекта персональных данных на обработку своих данных (ст. 9 п. 4) (образец заполнения в приложении № 5)
3. Уведомить субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (ст. 21 п. 4)
Уведомление об обработке персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (ст. 22 п. 2).
3. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
В целях защиты частной жизни личности в связи со сбором персональных данных, важное значение имеют контроль за правомерностью действий владельцев информации в организации работодателя и юридическая ответственность за нарушение установленных законодательством правил работы с персональными данными работника.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной, а также к административной, гражданско-правовой и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ). Отметим, что статья 24 Закона № 152-ФЗ дублирует статью 90 ТК РФ.
На работника, ненадлежащим образом относящегося к хранению и сбережению указанной информации, сведений, может быть наложено дисциплинарное взыскание, также на лиц допустивших ее порчу или утрату.
Виновные в таких нарушениях несут дисциплинарную ответственность в соответствии ст. 192-195 гл. 30 ТК РФ.
За совершение дисциплинарного проступка, т.е. неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей (в том числе обязанности соблюдения установленного порядка работы со сведениями конфиденциального характера), работодатель вправе применить одно из предусмотренных ст. 192 ТК РФ дисциплинарных взысканий (замечание, выговор, увольнение по соответствующим основаниям) в порядке, установленном ст. 193 ТК РФ.
За разглашение сведений, составляющих охраняемую законом тайну (государственную, коммерческую, служебную или иную), ставшей известной работнику в связи с выполнением им своих трудовых обязанностей, может последовать расторжение трудового договора (подп. "в" п. 6 ст. 81 ТК РФ). Кроме того, на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, может быть возложена обязанность возместить причиненные этим убытки (п. 7 ст. 243 гл. 39 ТК РФ).
В случае нарушения работодателем законодательства об обработке и защите персональных данных, работники вправе их обжаловать в судебном порядке (ст. 89 ТК РФ), а также требовать возмещения убытков и компенсации морального вреда. Следует иметь в виду, что в соответствии со ст. 208 ГК РФ на требования о защите личных неимущественных прав, к числу которых относятся и права работников на защиту персональных данных, включая право на сохранение тайны личной и семейной жизни, сроки исковой давности не распространяются.
В соответствии со статьей 57 Закона от 27.07.04 г. № 79-ФЗ за совершение дисциплинарного проступка, то есть за неисполнение или ненадлежащее исполнение гражданским служащим по его вине возложенных на него должностных обязанностей, представитель нанимателя имеет право применить следующие дисциплинарные взыскания:
-замечание;
-выговор;
-предупреждение о неполном должностном соответствии;
-освобождение от занимаемой должности гражданской службы;
-увольнение с гражданской службы по основаниям, установленным пунктом 2, подпунктами "а" - "г" пункта 3, пунктами 5 и 6 части 1 статьи 37 настоящего Федерального закона.
За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
Согласно Указу Президента РФ от 01.06.98 № 640 «О порядке ведения личных дел лиц, замещающих государственные должности Российской Федерации в порядке назначения и государственные должности федеральной государственной службы» федеральные государственные служащие, уполномоченные на ведение и хранение личных дел (формирование их копий) упомянутых в наименовании Указа лиц, могут привлекаться в соответствии с законодательством РФ к дисциплинарной и иной ответственности за разглашение конфиденциальных сведений, содержащихся в указанных личных делах, а также и за иные нарушения порядка ведения личных дел, установленных этим Указом (п. 7 данного Указа).
3.2. Административная, гражданская и уголовная ответственность за несоблюдение норм, регулирующих обработку и защиту персональных данных работника.
В соответствии со ст. 13.11 КоАП РФ, за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), может быть наложено административное взыскание. Нарушение данной нормы влечет за собой предупреждение или наложение штрафа в размере:
-на граждан – от 300 до 500 рублей;
-должностных лиц – от 500 до 1000 рублей;
-юридических лиц – от 5000 до 10000 рублей.
В соответствии со ст. 13.14 КоАП РФ разглашение информации с ограниченным доступом лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет за собой наложение административного штрафа в размере:
-на граждан – от 500 до 1000 рублей;
-на должностных лиц – от 4000 до 5000 рублей.
В соответствии со статьей 5.39 КоАП РФ неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влечет наложение административного штрафа на должностных лиц в размере от 1000-й до 3000-х тысяч рублей.
Гражданский кодекс РФ предусматривает защиту нематериальных благ граждан, включая неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию и др. Соответственно устанавливаются формы гражданско-правовой ответственности в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина (работника), и т.п. (ст. 150, 151, 152 ГК РФ).
Особое внимание следует обратить на криминализацию правонарушений в области работы с персональными данными, в связи с чем Уголовным кодексом РФ предусматривается уголовная ответственность:
-за злоупотребления и незаконные действия с информационными данными о частной жизни (ст. 137 УК РФ);
-за неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, если эти деяния причинили вред правам и законным интересам граждан (в т. ч. работникам) (ст. 140 УК РФ).
Так, статья 137 УК РФ гласит:
Часть 1 статьи 137 УК РФ - незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации и причинили вред гражданам, наказывается:
-штрафом в размере до 200000 рублей или в размере заработной платы или иного дохода осужденного за период до 18-и месяцев;
-обязательными работами на срок от 120-и до 180-и часов;
-исправительными работами на срок до 1-го года;
-арестом на срок до 4-х месяцев;
-лишение свободы на срок до 2-х лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3-х лет.
Часть 2 статьи 137 УК РФ содержит квалифицированный состав этого преступления. Квалифицирующим признаком выступает использованием служебного положения. Наказание при таких условиях соответственно выше:
-штрафом в размере от 100000 до 300000 рублей или в размере заработной платы или иного дохода осужденного за период от 1-го до 2-х лет;
-лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2-х до 5-и лет;
-арест на срок до 6-и месяцев;
-лишение свободы на срок до 4-х лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5-и лет.