Чем рискует в случае нарушений ответственный за персданные в компании?

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) по ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» - телефон, email, фотография, ФИО, информация о наличии детей или гражданский статус, возраст, национальность и т.д. Также к персональным данным относятся политические, философские и религиозные взгляды, информация о состоянии здоровья и отпечатки пальцев, фотография человека, информация о судимости и даже ссылки на личные страницы в социальных сетях. При этом есть нюансы. Например, сам по себе номер телефона не является персональными данными. Но если в базе указывается имя владельца – он становится персональными данными. То есть, если с помощью какой-либо информации можно идентифицировать конкретного человека – это персональные данные.

Начнем с того, что ответственность за нарушение в сфере персональных данных может нести и работодатель, и ответственный сотрудник. Чаще всего им является генеральный директор, но нередко его полномочия в этом вопросе делегируют заместителю или HR-службе. Так или иначе, базовые «нормы» перечислены в ст. 13.11 КоАП РФ.

В частности, компании грозит штраф до 100 тыс. рублей, а должностному лицу – до 20 тыс. рублей. Если вы обрабатываете данные без согласия сотрудника, юрлицо могут оштрафовать до 150 тыс. рублей, руководителя – до 40 тыс. рублей. Повторное нарушение будет куда серьезнее – до 500 тыс. рублей штрафа для компании.

Кроме того, отдельное наказание ждет и должностное лицо. В зависимости от нарушения видов ответственности целых пять. С учетом ст. 90 ТК РФ его могут привлечь к административной, дисциплинарной, уголовной, материальной и гражданско-правовой ответственности.

На основании ст. 2,3 и др. Закона о персональных данных, доступ к этим данным является ограниченным. Разглашение такой информации (с учетом ст. 13.14 КоАП РФ) лицом, которое получило к ней доступ в связи с исполнение обязанностей, грозит штрафом до 5 тыс. рублей. То есть, если установят, что данные разгласили по вине этого работника, ему выпишут штраф.

Персональные данные относятся к сведениям, которые охраняются законом. Неправомерное их разглашение сотрудником, который обязан соблюдать правила хранения, обработки и использования такой информации, также будет нарушением и основанием для наказания - дисциплинарного. В частности, трудовой договор с сотрудником могут расторгнуть из-за разглашения охраняемой законом тайны, ставшей известной работнику. Согласно п.6 ст. 81 ТК РФ, это является грубым проступком, так что уволить вправе уже после первого нарушения.

На основании ч.1 ст. 137 УК РФ незаконный сбор и распространение сведений о частной жизни, являющихся личной или семейной тайной, распространение данных в публичном пространстве без согласия, наказывается штрафом до 200 тыс. рублей или в размере зарплаты за период до 18 месяцев. Более того, могут привлечь к исправительным работам до 1 года, принудительным работам до 2 лет. Возможен даже арест до 4 месяцев или лишение свободы до 2 лет.

А если нарушение связано со служебным положением, применят уже ч.2 ст. 137 УК РФ: здесь грозит штраф до 300 тыс. рублей, принудительные работы – до 4 лет, арест – до 6 месяцев и даже лишение свободы на срок до 4 лет.

Из-за незаконного распространения данных пострадавший сотрудник может заявить о моральном вреде, который должна возместить компания. Соответственно, ответственный сотрудник должен возместить работодателю прямой действительный ущерб, согласно ст. 238 ТК РФ. Сюда в том числе относится и ущерб третьим лицам. На основании ч.1 ст. 243 ТК РФ сотрудник несет полную материальную ответственность за нарушение.

В соответствии со ст. 151 ГК РФ, если человеку причинили моральный вред действиями, нарушающими его неимущественные права, суд может потребовать компенсировать этот вред. Согласно ч. 2 ст. 1099 ГК РФ моральный вред подлежит компенсации, а гражданин вправе требоватья опровержения порочащих его честь, достоинство или деловую репутацию сведений, если они не соответстуют действительности.

Для того, чтобы не оказаться в ситуации, при которой компания случайно нарушает закон о хранении и обработке персональных данных, необходимо соблюдать следующие пункты закона № 152-ФЗ:

• всегда получать согласие на хранение и обработку персональных данных
• не собирать лишние персональные данные (например, те, которые не обязательны при устройстве на работу)
• собирать и хранить информацию только в определенные сроки и для конкретных целей
• соблюдать защиту персональных данных
• уничтожать и уточнять персональные данные по заявлению сотрудника.

В приложенном файле вы можете ознакомиться с шаблоном согласия на обработку персональных данных.