Проблемы защиты персональных данных

4. Ответственность за нарушение правил работы с персональными  данными

     Статья 90 ТК РФ предусматривает ответственность  за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может  нести дисциплинарную, административную, гражданско-правовую и уголовную  ответственность.

1. Уголовная ответственность

     Самая строгая, конечно, уголовная. Статья 137 УК РФ предусматривает наказание  за незаконное собирание или распространение  сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность  грозит в том случае, если эти  действия совершены намеренно, из корыстной  или иной личной заинтересованности и повлекли за собой нарушение  законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

     Личную  или семейную тайну составляют сведения, не подлежащие, по мнению лица, которого они касаются, оглашению. Личную и  семейную тайну не могут составлять сведения, которые были ранее опубликованы либо оглашены иным способом.

     Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

     а) незаконном собирании сведений о  частной жизни;

     б) незаконном их распространении;

     в) незаконном их распространении в  публичном выступлении, публично демонстрирующем  произведении или средствах массовой информации.

     Закон не связывает ответственность за незаконное распространение сведений о частной жизни лица с конкретным способом распространения. Под распространением имеется в виду любая незаконная передача указанных сведений третьим  лицам. Незаконным распространением является разглашение личной или семейной тайны лицом, обязанным ее хранить  в силу своей профессии. В некоторых  случаях разглашение сведений о  частной жизни по УК образует одновременно состав другого преступления например, разглашение тайны усыновления (ст. 155), В таких случаях содеянное  квалифицируется по совокупности со ст. 137 УК.

     Обязательным  элементом объективной стороны  преступления, предусмотренного ст. 137 УК, является причинение вреда правам и законным интересам граждан. Характер вреда закон не ограничивает. Он может быть:

     а) материальным (имущественным), например потеря хорошо оплачиваемой работы, срыв выгодной сделки, иные убытки в предпринимательской  деятельности;

     б) физическим (телесным), например заболевание  от пережитого;

     в) моральным, например распад семьи, подрыв репутации.

     Установление  наличия вреда правам и законным интересам потерпевшего производится в каждом конкретном случае с учетом индивидуальных особенностей личности и ситуации.

     Нарушение неприкосновенности частной жизни  считается оконченным преступлением  только с момента причинения соответствующего вреда (материальный состав).

     Субъективная  сторона данного преступления характеризуется  прямым умыслом. Обязательным элементом  субъективной стороны является мотив: корыстная или иная личная заинтересованность. Корыстная заинтересованность выражается в стремлении приобрести материальную (имущественную) выгоду за счет потерпевшего или в виде вознаграждения от третьей  стороны. Иная личная заинтересованность может заключаться в стремлении дискредитировать конкурента, сделать  карьеру, отомстить за что-либо, продемонстрировать свое превосходство либо привлечь внимание к себе.

     По ч. 1 ст. 137 УК любое физическое вменяемое лицо, достигшее 16 лет (общий субъект), наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

     По ч. 2 ст. 137 УК - должностное лицо либо служащий государственного или муниципального учреждения, использующий для совершения преступления свое служебное положение (специальный субъект), наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

     А если кадровик или руководитель допустили  ситуацию, когда информация о работнике  стала известна другим, ненамеренно? Или даже существует пока только угроза "утечки" такой информации? Тогда  в ход могут пойти меры административной и дисциплинарной ответственности, которые применяются к должностным  лицам предприятия. Остановимся  на них подробнее.

2. Административная  ответственность

     Административные  штрафы. Нарушение правил работы с  персональными данными может  повлечь административную ответственность  работодателя или его представителей. Кодекс РФ об административных правонарушениях  содержит на этот счет две статьи.

     Статья 13.11 предусматривает ответственность  в виде предупреждения или наложения  штрафа на работодателя в размере  от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования  или распространения информации о гражданах (персональных данных). Этот порядок установлен главой 14 Трудового  кодекса РФ и локальными нормативными актами предприятия.

     Объективная сторона данного правонарушения состоит в действии или бездействии, нарушающем установленный законом  порядок сбора, хранения, использования  или распространения информации о гражданах (персональных данных). Вина в совершении данного правонарушения может быть как умышленной, так  и неосторожной.

     Ввиду того, что персональные данные - один из видов охраняемой законом тайны, защита ее конфиденциальности предусмотрена  также статьей 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных  или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, то административный штраф  для него будет составлять от 40 до 50 МРОТ.

     Объектом  правонарушения, предусмотренного данной статьей, является порядок получения  информации с ограниченным доступом.

     Объективная сторона данного правонарушения состоит в действии, представляющем собой разглашение информации, доступ к которой ограничен федеральным  законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных  или профессиональных обязанностей.

     Отнесение информации к конфиденциальной осуществляется в порядке, установленном отраслевым законодательством Российской Федерации (гражданским, административным и т.д.).

     Вина  в совершении данного правонарушения может быть как умышленной, так  и неосторожной.

     К административной ответственности  работодателя или его представителей может привлечь Рострудинспекция или  суд.

3. Дисциплинарная  ответственность

     Дисциплинарная  ответственность кадровика. В отношении  сотрудника-кадровика работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 Трудового кодекса РФ: замечание, выговор, увольнение. Более того, кодекс предусматривает специальное основание  для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом  тайны, ставшей известной работнику  в связи с исполнением им трудовых обязанностей (п.п. "в" п.6 ст.81).

     Дисциплинарная  ответственность работников является самостоятельным видом юридической  ответственности. К дисциплинарной ответственности могут привлекаться работники, совершившие дисциплинарный проступок.

     Как и любое другое правонарушение, дисциплинарный проступок обладает совокупностью  признаков: субъект, субъективная сторона, объект, объективная сторона.

     Субъектом дисциплинарного проступка может  быть гражданин, состоящий в трудовых правоотношениях с конкретной организацией и нарушающий трудовую дисциплину.

     Субъективной  стороной дисциплинарного проступка  выступает вина со стороны работника. Она может быть в форме умысла или по неосторожности.

     Объект  дисциплинарного проступка - внутренний трудовой распорядок конкретной организации. Объективной стороной здесь выступают  вредные последствия и прямая связь между ними и действием (бездействием) правонарушителя.

     В соответствии с заключенным трудовым договором работодатель вправе требовать  от работника выполнения трудовых обязанностей. Согласно ст. 192 Кодекса работодатель имеет право, но не обязан привлекать к дисциплинарной ответственности  работника, совершившего дисциплинарный проступок. Однако следует знать, что  настоящим Кодексом, другими федеральными законами, уставами и положением о  дисциплине могут быть определены и  иные правила при совершении дисциплинарного  проступка.

     Разглашение может быть совершено среди коллег, знакомых, родственников и других лиц, не имеющих законного доступа  к ним. Кроме разглашения основными  видами нарушений правил работы с  персональными данными являются незаконное получение или использование  сведений, составляющих персональные данные, и утрата материальных носителей, содержащих данную информацию. Следует  подчеркнуть, что увольнение работника  может быть осуществлено только за разглашение персональных данных. В  иных случаях работодатель вправе наложить на виновное лицо другое дисциплинарное взыскание.

     К дисциплинарной ответственности могут  быть привлечены лишь те работники  кадровой службы, которые приняли  на себя обязательство соблюдать  правила работы с персональными  данными. То есть условие о неразглашении  сведений, составляющих персональные данные, было включено в их трудовой договор, они были ознакомлены с  локальными нормативными актами по вопросу  защиты этой конфиденциальной информации, а работодатель создал для работы все необходимые условия. Если такая  подготовительная работа не была проведена, то специалист, кому доверена работа с  персональными данными, нести ответственности  не будет.

     Факт  нарушения правил работы с персональными  данными может быть установлен представителем работодателя (например, начальником  отдела кадров), самим работником или  специалистом Рострудинспекции.

     Работники и их представители имеют право  осуществлять контроль над выполнением  требований по защите конфиденциальности этой категории информации, запрещать  или приостанавливать обработку  персональных данных в случае их невыполнения. Любые неправомерные действия (бездействие) работодателя при обработке и защите персональных данных работник вправе обжаловать в судебном порядке.

5. Защита  персональных данных

1. Проблемы  комплексной защиты персональных данных

     В последнее время проблема защиты персональных данных серьезно обострилась  наряду с изменением хозяйственных  механизмов, а также широкомасштабной автоматизацией сбора и обработки  данных социально-экономического характера. Первое привело к появлению большого количества новых субъектов, в виде независимых от государства юридических лиц, занимающихся сбором, обработкой и хранением информации. Второе существенно упростило процессы копирования, распространения и использования информации любого характера, в том числе персональных данных. Все это способствовало появлению нового вида криминальной деятельности – хищения и противоправного оборота персональных данных. С повсеместным внедрением глобальной информационной сети Интернет, где до сих пор до конца не решена проблема идентификации пользователей, данный вид преступного бизнеса получил широкое распространение.

     Практика  расследования киберпреступлений  показывает, что по-прежнему, большую  угрозу для общества и государства  представляют деяния, связанные с  незаконным копированием, модификацией или уничтожением компьютерной информации. Объектами посягательств являются локальные компьютерные сети российских и зарубежных банковских структур, крупных коммерческих компаний, государственных и общественных организаций, но в первую очередь, их базы данных. Под угрозой оказалась различного рода конфиденциальная информация в отношении граждан, в т.ч. сведения о финансовых операциях, идентификационные данные расчетных и платежных карт электронных платежных систем, коды сим-карт радиотелефонных сетей общего пользования и т.п. Действия по завладению персональной информацией являются, как правило, необходимым прологом к последующим преступлениям. При этом по статистике до 2/3 фактов несанкционированного проникновения в компьютерные сети совершается по вине неаккуратных пользователей или при непосредственном участии обслуживающего персонала пострадавшей организации. Естественно, что изнутри виртуальной «крепости» преодолеть технические средства защиты существенно легче, чем в лоб пробивать хитроумную броню.