Основные положения законодательства в области защиты персональных данных работников

Интересное предложение для внесения в акт по вопросам обработки персональных данных делает Е. Смирнова: «установить запрет работникам организации и посетителям загораживать, закрывать камеры или каким-либо иным способом препятствовать производству видеонаблюдения». Смирнова Е. Видеонаблюдение на рабочих местах: законодательство, позиции судов и Роскомнадзора // Управление персоналом. 2015. N 21. Представляется правильным таким образом предотвратить нарушение работниками деятельности системы наблюдения, обеспечив бесперебойное ее функционирование.

Если работодатель только планирует установить на территории организации систему видеонаблюдения, на наш взгляд необходимо уведомить об этом работников, а в трудовых договорах с новыми работниками включить право работодателя проводить видеосъёмку на рабочих местах с указанием целей такой съемки.

Если в видимость камеры, размещенной на территории работодателя попадают посторонние лица, например, видеозапись ведется в торговом зале, тогда положения о системе видеонаблюдения необходимо включить в политику компании в отношении обработки персональных данных. Более того, из Разъяснений Роскомнадзора следует, что посетители организаций должны заранее предупреждаться администрацией о возможной фото-, видеосъемке соответствующими текстовыми и/или графическими предупреждениями. При соблюдении указанных условий их согласие на проведение указанных мероприятий не требуется. Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки / Указ. работа. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016) Также в этом случае придется уведомить Роскомнадзор об осуществлении обработки в соответствии со статьей 22 152-ФЗ. Отметим, что информация, полученная с камер системы видеонаблюдения в отсутствие предварительного уведомления Роскомнадзора, не будет иметь юридической? силы в случае судебного разбирательства.

В рамках трудовых отношений встречаются случаи сбора и обработки работодателем изображений работника, например, для изготовления пропуска на территорию работодателя или для публикации на информационном стенде.

Гражданский кодекс РФ в статье 152.1. содержит норму о недопустимости обнародования и дальнейшего использование изображения гражданина (в том числе его фотографии или видеозаписи), в которых он изображен без согласия этого гражданина - таким образом, размещая фотографию работника на информационном стенде компании или делая рассылку о кадровом перемещении, необходимо заранее заручиться согласием на это.

Касательно изготовления личного пропуска работнику - то, как мы уже рассматривали в прошлой главе, к биометрическим данным фотография на пропуске не может быть отнесена в связи с тем, что понятие биометрических данных предполагает не только наличие определенных сведений, содержащих информацию о физиологических и биологических особенностях человека, но также использование биометрических методов идентификации личности. Федеральный закон "О персональных данных": Научно-практический комментарий. Указ.работа В связи с этим сбор и обработка изображения работника в процессе пропускного режима не подразумевает его согласия, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со статьей 372 ТК РФ. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Указ.работа. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016)

В процессе трудовых отношений работодатель обеспечивает хранение большого количества персональных данных работников как на электронных, так и на материальных носителях. Трудовой кодекс не содержит никаких требований к хранению такой информации, кроме отсылочных норм к федеральным законам. Таким образом, работодатель самостоятельно определяет порядок хранения персональных данных работников, опираясь на установленные законодательством правила. Так, прописав основные положения обработки в локально-нормативном акте и назначив за нее ответственного, работодателю необходимо утвердить список лиц, имеющих доступ к обрабатываемым персональным данным, заключить с этими лицами обязательства о неразглашении конфиденциальной информации, полученной в ходе выполнения трудовых обязанностей и включить соответствующие обязанности в их должностные инструкции.

Кроме того, работодатель обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерных действий в отношении них, в частности:

1) определять угрозы безопасности персональных данных при их обработке Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных";

2) применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке;

3) устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также совершать иные действия, перечисленные в части второй статьи 19 152-ФЗ.

Правительством РФ, учитывая возможный вред субъекту персональных данных, объем и содержание обрабатываемой информации, вид деятельности оператора и актуальность угроз безопасности, установлены уровни защищенности персональных данных при обработке в информационных системах и требования к их защите Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Также установлены требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем Постановление Правительства РФ от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных". Состав и содержание необходимых организационных и технических мер для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Организовывая системы хранения персональных данных работников на материальных носителях в информационных системах, работодатель должен руководствоваться перечисленными документами. Учитывая сложность и многообразие требований в области технической и организационной защиты персональных данных, законодатель в части третьей статьи 6 152-ФЗ предусмотрел возможность осуществления обработки персональных данных по поручению оператора другим лицом на основании договора. Такой договор должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных». Указ.работа

В отношении требований к защите персональных данных работников в ходе неавтоматизированной обработки действуют положения Постановления N 687.

Так, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Работодатель самостоятельно устанавливает перечень мер, необходимых для обеспечения таких условии?, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер. Как показывает судебная практика, если такие действия не будут произведены, работодателю придется устранять предписания инспектора. Так, суд оставил апелляционную жалобу ФГУП "Почта России" об оспаривании предписания Роскомнадзора без удовлетворения из-за того, что было установлено нарушение со стороны ФГУП "Почта России" пункта 13 Постановления N 687 в части отсутствия у оператора места хранения материальных носителей персональных данных, перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Девятыи? арбитражныи? апелляционныи? суд в своем Постановлении от 22 июня 2011 г. N 09АП-12580/2011

Важно, что бы хранящиеся у работодателя данные не были избыточными. Если работодатель необоснованно собирает и обрабатывает излишние данные о сотрудниках, в ходе проверки Роскомнадзор вправе вынести предписание об устранении нарушений законодательства. Такое предписание стало предметом судебного разбирательства в Пятнадцатом арбитражном апелляционном суде. В ходе проверки было установлено, что филиал банка без письменного согласия субъектов персональных данных обрабатывает специальную категорию персональных данных - национальность, указанную в копиях свидетельства о заключении брака, свидетельства о рождении ребенка. Также ответчик превышает установленный пунктом 2 статьи 86 Трудового кодекса РФ объём обрабатываемых персональных данных работников, осуществляя обработку: копии страниц паспорта, копии страниц военного билета. В частности, в установленном законодательством порядке воинского учета четко прописан объем и содержание обрабатываемых персональных данных, и не предусмотрено получение и хранение в организации копий документов.

Кроме того, хранение копий противоречит принципам точности и актуальности персональных данных, отраженном в части 6 статьи 5 152-ФЗ. Рассматривая дело, суд поддержал позицию Роскомнадзора в незаконности хранения копий документов, на основании которых были внесены записи в кадровые документы, включая трудовой договор и личную карточку. Постановление Пятнадцатого арбитражного апелляционного суда от 17 декабря 2013 г. N 15АП-16132/13

В связи с тем, что на работодателе лежит обязанность по обеспечению конфиденциальности полученных персональных данных работников, представляется целесообразным вести журнал учета персональных данных, их выдачи и передачи третьим лицам. В таком журнале можно регистрировать поступающие запросы, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана с указанием цели предоставления. Кроме того, работодатель может предусмотреть в локально-нормативном акте требования к помещениям, в которых находятся носители информации, содержащие персональные данные работников. Например, принимая во внимание пункт 21 Методических рекомендации? по ведению воинского учета в организациях "Методические рекомендации по ведению воинского учета в организациях" (утв. Генштабом Вооруженных Сил РФ 11.04.2008) документы воинского учета, содержащие персональные данные работников, рекомендуется хранить в железных шкафах в специально оборудованных помещениях.

2.3 Особенности регулирования персональных данных работников после увольнения

Согласно пункту 7 статьи 5 152 ФЗ хранение персональных данных должно осуществляться не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом. В отношении сроков хранения документов, содержащих персональные данные работников, в настоящее время действует Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации" (далее - 125-ФЗ), в частности статья 22.1., устанавливающая сроки временного хранения документов по личному составу в организациях, а также Приказ Минкультуры России от 25.08.2010 N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" (далее - Перечень типовых управленческих архивных документов).

В соответствии со статьей 22.1 125-ФЗ все архивные документы по личному составу делятся на две группы: созданные до и после 2003 года. Так, документы по личному составу, созданные до 2003 года, хранятся не менее 75 лет со дня создания, а документы по личному составу, созданные начиная с 2003 года, хранятся не менее 50 лет со дня создания, причем в обоих случаях после истечения указанного срока хранения для документов государственных органов, органов местного самоуправления и организаций, выступающих источниками комплектования государственных и муниципальных архивов, проводится обязательная экспертиза ценности документов.

Перечень типовых управленческих архивных документов содержит несколько разделов, включающих перечни документов с персональными данными работников: документы по организации труда, нормированию, тарификации, оплате труда, и документы о работе с кадрами: приеме, перемещении, увольнении работников, повышении их квалификации, проведении аттестации, а также награждении. Большинство документов согласно рассматриваемому Перечню хранятся 75 лет или постоянно (до момента ликвидации организации). К ним, например, относятся трудовые договоры, личные карточки, документы о субъекте персональных данных (заявления работника о согласии на обработку персональных данных, сведения, уведомления). По нашему мнению столь долгосрочное хранение обусловлено возможной необходимостью истребования в дальнейшем сведений, например, для подтверждения страхового стажа при оформлении досрочной пенсии по старости.

Привлекает внимание тот факт, что в ряде нормативных правовых актов, в том числе в упомянутом Перечне, сроки хранения некоторых документов по личному составу, в которых содержатся персональные данные работников, отличаются от установленных в статье 22.1 125-ФЗ. Представляется, что в скором времени данные акты будут приведены в соответствие с 125-ФЗ.

В обязанности работодателя при ликвидации входит передача образовавшихся в процессе его деятельности документов по личному составу, сроки временного хранения которых не истекли, на хранение в соответствующий государственный или муниципальный архив на основании договора. Соответственно, перед передачей в такой архив работодатель должен организовать упорядочение архивных документов.

Кроме этого, согласно подпункту 8 пункта 1 статьи 24 Налогового кодекса РФ установлена обязанность в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога. Статья 29 Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете" определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее 5 лет. Таким образом, помимо документов по организации труда, его оплате и документов о работе с кадрами работодатель хранит и другие документы, содержащие персональные данные работников.

Работодатель обязан обеспечивать финансовые, материально-технические и иные условия, необходимые для комплектования, хранения, учета и использования архивных документов. Для выполнения такой обязанности нужно руководствоваться "Основными Правилами работы архивов организаций", одобренными решением Коллегии Росархива от 06.02.2002, которые среди прочего устанавливающие требования к зданиям и помещениям архива, а также режимы хранения документов.

Руководствуясь положением пункта 2 части первой статьи 6 152-ФЗ, а также учитывая Разъяснения Роскомнадзора Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Указ.работа. URL: http://rkn.gov.ru/news/rsoc/news21529.htm (дата обращения: 23.04.2016), согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях получать не требуется. Как следует из пункта 2 части второй статьи 1 152-ФЗ, действие Закона о персональных данных не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов, и, соответственно, обработка указанных сведений не требует соблюдения условий, установленных законодательством о защите персональных данных.

По истечению сроков хранения документов, содержащих личные сведения работников, а также в случаях достижения целей обработки, утраты необходимости в достижении этих целей, отзыва субъектом персональных данных согласия на обработку его персональных данных, если выявлены неполных или неточных данные, обрабатываемая информация подлежит уничтожению либо обезличиванию.

Согласно пункту 8 статьи 3 152-ФЗ уничтожение персональных данных это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) уничтожение материальных носителей персональных данных.

Следовательно можно выделить два вида уничтожения персональных данных:

· физическое уничтожение материального носителя;

· уничтожение информации с материального носителя.

Способ уничтожения материального носителя зависит от его материала. Например, бумажный носитель уничтожается через шредирование (измельчение и гидрообработка) и через термическую обработку (сжигание), а электронный носитель путем механического разрушения дисков, химического травления в агрессивных средах и обжига или переплавки.

Для уничтожения информации с носителя существует большое количество как программной, так и программно-аппаратной реализации. Конкретный способ уничтожения персональных данных работника определяется в локально-нормативном акте работодателя.

Независимо от того, какой вид уничтожения персональных данных выберет работодатель, он обязан документально зафиксировать это действие. Порядок такой документальной фиксации определяется работодателем самостоятельно. На практике наиболее распространенным способом является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются работодателем. Уничтожение персональных данных работников осуществляется комиссией, созданной на основании приказа.Ответы на вопросы в сфере защиты прав субъектов персональных данных/ Официальный сайт Роскомнадзора. URL:

http://rkn.gov.ru/treatments/p459/p468/(дата обращения: 23.04.2016)

Обезличиванием персональных данных в соответствии с пунктом 9 статьи 3 152-ФЗ являются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. В рассматриваемом определении Закон о персональных данных не уточняет, каким должен быть объем этой дополнительной информации. Однако, очевидно, что такая дополнительная информация не должна относиться к данным открытого доступа.

Отличительной особенностью обезличивания от уничтожения персональных данных является то, что обезличивание персональных данных работников обеспечивает не только защиту от несанкционированного использования, но и возможность их обработки.

Существует несколько методов обезличивания персональных данных, работодатель праве выбрать любой из них или использовать сразу несколько, исходя из поставленных задач обработки полученной информации. При выборе метода обезличивания персональных данных работника работодатель может руководствоваться Приказом Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Подводя итоги рассмотренных ситуаций обработки персональных данных при приеме на работу, в процессе трудовой деятельности и после увольнения работника, представляется возможным отметить следующее:

· обрабатывая персональные данные соискателя, работодатель обязан получить от него согласие, за исключением случаев, когда обрабатываемая информация является общедоступной, предоставляется кадровым агентством или обработка предусмотрена законодательством РФ;

· передавая персональные данные работника третьим лицам, необходимо заручиться согласием работника. Кроме того, в договоре с принимающей стороной должны быть определены перечень действий с персональными данными, которые будут совершаться, установлена обязанность соблюдать конфиденциальность полученных данных и обеспечивать безопасность при их обработке, а также должны быть указаны требования к защите обрабатываемой информации;

· если на территории работодателя осуществляется видеосъёмка, работник должен быть об том уведомлен, в локально - нормативном акте организации отражены ее цели, ответственные работники и сроки хранения записанной информации. Кроме того, если в зону видимости камеры попадают лица, не состоящие в трудовых отношениях с работодателем, придется направить в Роскомнадзор уведомление об обработке персональных данных;

· в процессе защиты персональных данных работников работодатель обязан прописать основные положения обработки в локально-нормативном акте и назначить за нее ответственного, утвердить список лиц, имеющих доступ к обрабатываемым персональным данным, заключить с этими лицами обязательства о неразглашении конфиденциальной информации, полученной в ходе выполнения трудовых обязанностей и включить соответствующие обязанности в их должностные инструкции;

· обеспечивая хранение персональных данных работников, работодатель должен соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ, а обрабатываемая информация не должна быть избыточной;

· после достижения цели обработки в процессе трудовых отношений персональные данные должны быть уничтожены не позднее установленного срока, так, работодатель вправе хранить персональные данные соискателей не более 30 дней после закрытия соответствующей вакансии, а кадровые документы и документы по организации труда - на срок, установленный законодательством об архивном хранении РФ.

Наиболее проблемным моментом, на наш взгляд, в регулировании защиты персональных данных в процессе трудовых отношений является отсутствие единообразного толкования термина биометрические данные, в частности, отнесение к ним фото- и видеоизображений работников, а соответственно, и понимания, какие данные о человеке могут являться биометрией. На данный момент в отношении идентификации фотоизображения как биометрических данных действует единственный документ, регулирующий удостоверение личности гражданина, осуществляющего выезд и въезд на территорию РФ. Очевидно, что применять его в трудовых отношениях не представляется возможным. Кроме того, разъяснения об отнесении фото- и видеоизображений к биометрическим данным дает проверяющий орган, в полномочия которого не входит толкование законодательства, и, соответственно, такие разъяснения носят рекомендательный характер.

На практике обозначенная проблема приводит к разночтениям законодательства, в том числе со стороны Регулятора, и, как следствие, к дополнительным штрафным санкциям в отношении работодателя, принявшего «не ту сторону» толкования. На основании чего считаем отсутствие четкой позиции отнесения фото- и видеоизображений пробелом в современном законодательстве, который следует урегулировать.

Другим проблемным моментом законодательства в области защиты персональных данных работника является отсутствие регулирования проверок на полиграфе несмотря на то, что в настоящее время РФ входит в число пяти ведущих государств мира по объемам прикладного применения полиграфа в правоохранительных целях, а коммерческое применение полиграфа осуществляется более чем в двадцати городах России.

Как было отмечено выше, судебная практика по данному вопросу выявляет незаконные наложения дисциплинарных взысканий, увольнения, и принуждения к расторжению трудового договора в последствие использования тестирования на детекторе лжи. Причем международные стандарты труда, как и национальное законодательство большинства европейских стран, содержат нормы о запрете проверок или их строгое ограничения в государственной и коммерческой сферах.

По нашему мнению, отсутствие регулирования исследований на полиграфе на территории РФ затрудняет и сдерживает применение опросов в правоохранительных целях, а также создает условия для злоупотребления. Так, например, создание единой системы подготовки и аттестации полиграфологов, будут способствовать отмене дискредитации метода и защите прав субъектов при использовании результатов опросов.

ГЛАВА 3. ОТВЕТСВЕСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

В соответствии со статьей 24 Закона о персональных данных лица, виновные в нарушении установленных требований, несут ответственность, предусмотренную законодательством РФ.

В Трудовом кодексе (статья 90) уточняется, что лица, нарушившие положения законодательства РФ в области персональных данных, привлекаются к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

3.1 Виды ответственности и меры наказания за нарушения законодательства в области защиты персональных данных работников

Задачами Уголовного кодекса РФ (далее - УК РФ, Уголовный кодекс) среди прочего является охрана прав и свобод человека и гражданина, от преступных посягательств, обеспечение мира и безопасности человечества, а также предупреждение преступлений, то есть виновно совершенных общественно опасных деяний, запрещенных под угрозой уголовной ответственности.

В соответствии с нормами Российского законодательства к уголовной ответственности могут быть привлечены исключительно физические лица, а значит только работники, неправомерные действия которых послужили разглашению личной информации работников и (или) иным правонарушениям.

Уголовный кодекс предусматривает следующие основания для привлечения к ответственности в связи с нарушением законодательства в области защиты персональных данных работников:

1) в пункте 2 статьи 137 УК РФ в случае незаконного собирания или распространения сведений о частной жизни лица без его согласия либо публичное распространение этих сведений, совершенные лицом с использованием своего служебного положения, приводится следующий перечень наказаний:

· штраф в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет;

· лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет;

· принудительные работы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового;

· арест на срок до 6 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Таким образом, устанавливается наказание за нарушение конституционного права работника на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (часть 1 статьи 23 Конституции РФ). К ответственности по рассматриваемой статье могут, например, привлекаться лица, которые производят скрытую видеосъемку или аудиозапись.

2) В связи с разглашением персональных данных работников к виновным может применяться статья 272 УК РФ. В частности, неправомерный доступ с использованием служебного положения к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации наказывается следующими способами:

· штраф в размере до 500 000 рублей или в размере заработной платы или иного дохода осужденного за период до 3х лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3х лет;

· ограничение свободы на срок до 4х лет;

· принудительные работы на срок до 5ти лет;

· лишение свободы на срок до 5ти лет.

Под охраняемой законом компьютерной информацией можно понимать информацию ограниченного доступа, имеющую не только специальный правовой статус, но и предназначенную для ограниченного круга лиц (пользователей), имеющих право на ознакомление с ней, Комментарий к Уголовному кодексу Российской Федерации (научно-практический, постатейный) (2-е изд., перераб. и доп.) (под ред. д.ю.н., профессора С.В. Дьякова, д.ю.н., профессора Н.Г. Кадникова). - "Юриспруденция", 2013 г. иными словами, информационную систему персональных данных.

3) Обратной стороной разглашения персональных данных является непредставление информации, касающейся работника. В статье 140 УК РФ устанавливается ответственность за неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, а также предоставление гражданину неполной или заведомо ложной информации, в связи с чем причиняется вред правам и законным интересам граждан, в виде:

· штрафа в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;

· лишения права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

Частным проявлением такого отказа является уклонение от предоставления информации (когда виновный прямо не отказывается ее предоставить, но под различными, часто надуманными, предлогами затягивает до бесконечности предоставление информации). Гуев А.Н. Комментарий к Уголовному кодексу Российской Федерации для предпринимателей // Правовая система «Гарант», 2010 Как следствие, привлечение к ответственности по статье 140 УК РФ практически не встречается в судебной практике из-за трудности доказывания умышленности неправомерных действий.

В соответствии со статьей 2.1 Кодекса РФ об административных правонарушениях РФ (далее - КоАП РФ) административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое установлена административная ответственность. Из этого определения следует, что административную ответственность за нарушение норм законодательства о персональных данных несут как работодатель, так и ответственный за обработку и защиту персональных данных работник.

Работодатель признается виновным в совершении административного правонарушения, если устанавливается возможность для соблюдения правил, за которые предусмотрена административная ответственность, но им не были приняты меры по их соблюдению. Назначение административного наказания на работодателя не освобождает от ответственности за данное правонарушение виновного работника, равно как и привлечение к административной или уголовной ответственности должностного лица не освобождает от административной ответственности оператора.

Статьей 13.14 КоАП РФ устанавливается ответственность за разглашение информации с ограниченным доступом (за исключением случаев, когда такое преступление влечет уголовную ответственность). Соответственно, если работник, получивший доступ к такой информации в связи с исполнением своих служебных обязанностей, разгласит персональные данные других работников, ему грозит административный штраф от 4000 до 5000 рублей. Кроме того, в этом случае работодатель также может быть привлечен к административной ответственности по статье 13.11 КоАП РФ в связи с тем, что на работодателя пунктом 7 статьи 86 ТК РФ возложена обязанность защиты персональных данных работников от неправомерного их использования или утраты, а статьей 88 ТК РФ - требование не сообщать персональные данные третьей стороне без согласия работника. Лишь доказав, что виновный за разглашение персональных данных работник ознакомлен с порядком обработки персональных данных в компании, и ему разъяснены недопустимость разглашения персональных данных третьим лицам, работодатель сможет избежать административного наказания в связи с отсутствием вины.

Отметим, что согласно упомянутой статье 13.11. КоАП РФ за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена ответственность в виде предупреждения или наложения административного штрафа:

· на должностных лиц - от 500 до 1000 рублей;

· на юридических лиц - от 5000 до 10 000 рублей.

Представляется, что столь незначительное наказание не имеет должного эффекта для предотвращения нарушений в области защиты персональных данных. Так, решением суда должностному лицу, нарушившему требования законодательства при передаче третьему лицу сведений об адресе работников, а также не принявшему меры по уничтожению документов, содержащих персональные данные, после истечения сроков хранения, назначено административное наказание в виде предупреждения. А в случае, отсутствия у работодателя мер защиты персональных данных, суд налагает административный штраф в размере 500 рублей. Судебный участок №3 мирового судьи Россошанского района Воронежской области дело 5-125/2015 от 12.05.2015

К тому же, в соответствии с частью 1 статьи 4.5 КоАП РФ постановление по делу об административном правонарушении не может быть вынесено по истечении трех месяцев со дня совершения административного правонарушения, в связи с чем виновных не всегда получается привлечь к ответственности. Обзор судебной практики по гражданским делам и делам об административных правонарушениях, рассмотренным в кассационной инстанции Саратовского областного суда в 1 полугодии 2014 г., пункт 13.

Так, в 2015 году в Государственную Думу РФ был направлен законопроект, существенно ужесточающий меры наказания за нарушение норм в области защиты персональных данных. Например, невыполнение оператором обязанности по опубликованию политики в отношении обработки персональных данных и сведениям о реализуемых требованиях к защите персональных данных в соответствии с предложенным законопроектом влечет предупреждение или наложение административного штрафа на должностных лиц - от 3000 до 6000 рублей, на юридических лиц - от 15000 до 30000 рублей; обработка персональных данных без согласия субъекта наказанием в виде штрафа на должностных лиц - от 5000 до 15000 рублей; на юридических лиц - от 30000 до 50000 рублей; а за незаконную обработку специальной категории персональных данных - штрафом на должностных лиц - от 10000 до 25000 рублей; на юридических лиц - от 150000 до 300000 рублей. Проект Федерального закона N 683952-6 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" (ред., принятая ГД ФС РФ в I чтении 24.02.2015)

По нашему мнению, подобные меры будут способствовать соблюдению законодательства о защите персональных данных, однако, приведение внутренних процессов в соответствии с законодательством связано с большими затратами, поэтому вступление в силу рассматриваемого законопроекта может привести к дополнительной нагрузке на работодателей и как следствие - уменьшению рабочих мест.

Статьей 13.12. КоАП РФ предусматривается административная ответственность за нарушение правил защиты информации.

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, влечет наложение административного штрафа:

· на должностных лиц - от 2500 до 3000 рублей;

· на юридических лиц - от 20000 до 25000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.

За нарушение требований защиты информации, установленных федеральными законами или иными нормативными правовыми актами РФ, налагается административного штраф:

· на должностных лиц - от 1000 до 2000 рублей;

· на юридических лиц - от 10 000 до 15 000 рублей.

Если работодатель игнорирует требование статьи 18.1 152-ФЗ в части назначения ответственного за организацию обработки персональных данных и издания локальных актов по вопросам обработки персональных данных, ему грозит наложение административного штрафа в размере от 30000 до 50000 рублей.

Так же, как и в Уголовном кодексе, в КоАП РФ предусмотрена ответственность за отказ должностных лиц в предоставлении информации (статья 5.39 КоАП РФ) в виде штрафа от 1000 до 3000 рублей. Нетрудно заметить, что размер административного штрафа значительно отличается от уголовного за аналогичное правонарушение. Такая конкуренция, как справедливо отмечают некоторые авторы, нуждается в корректировке, поскольку создает условия для произвольного выбора нормы, подлежащей применению в конкретном случае, что противоречит принципам уголовного и административного законодательства, а также принципам административного и уголовного судопроизводства. Войниканис Е.А., Машукова Е.О., Степанов-Егиянц В.Г. Неприкосновенность частной жизни, персональные данные и ответственность за незаконные сбор и распространение сведений о частной жизни и персональных данных: проблемы совершенствования законодательства // Законодательство. 2014. N 12.

Статья 12 Гражданского кодекса РФ (далее - ГК РФ) перечисляет способы защиты нарушенных прав. Применительно к области обработки персональных данных можно отнести возмещение убытков и компенсацию морального вреда. Так, в статье 15 ГК РФ устанавливается, что лицо, чье право нарушено, может требовать возмещения причинённых убытков, то есть расходов, которые понесло пострадавшее лицо, и неполученных этим лицом доходов, а согласно части 2 статьи 1099 ГК РФ моральный вред подлежит компенсации в случаях, предусмотренных законом.

Статья 152.2. ГК РФ устанавливает запрет на сбор, хранение, распространение и использование любой информации о частной жизни гражданина без его согласия. Такими действиями пострадавшему может быть причинен моральный вред, за возмещением которого он вправе обратиться в суд. В соответствии с частью второй статьи 24 152-ФЗ, возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

При определении размеров денежной компенсации за причинённый моральный вред учитываются степень физических и нравственных страданий гражданина, которому причинен вред, а также степень вины нарушителя. Норма о необходимости компенсировать моральный вред работника существует также в Трудовом кодексе (статья 237 ТК РФ). Она указывает на необходимость согласования сторонами спора размера денежной формы такой компенсации.

Пленум ВС РФ уточняет, что при рассмотрении споров, возникших в связи с распространением информации о частной жизни без согласия ее владельца, последний вправе требовать возмещения морального вреда Абзац 2 пункт 8 постановления Пленума ВС РФ от 24 февраля 2005 г. № 3 "О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридических лиц" . В случае, когда сведения были распространены работником в ходе своей профессиональной деятельности, ответчиком в таких делах выступает юридическое лицо-работодатель, а сам работник может выступать в таком деле как третье лицо или привлекаться к участию в нем по инициативе суда либо ходатайству участников. Иными словами, если к работодателю будут предъявлены требования от работника, чьи персональные данные разглашены, о возмещении морального вреда и (или) убытков такой работодатель, если суд установит его вину, будет обязан их удовлетворить. Этот вывод находит свое отражение в судебной практике. В частности, при рассмотрении дела о разглашении персональных данных работника путем публикации дополнительного соглашения к трудовому договору в сети Интернет истец утверждал о наступлении негативных последствий - условия трудового договора стали предметом обсуждения неограниченного числа пользователей. Суд обязал взыскать с ответчика компенсацию морального вреда в размере 25 000 рублей. Апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 по делу N 33-4172/13

Материальная ответственность за нарушение норм защиты персональных данных возникает на основании статьи 238 ТК РФ. Так, работник, разгласивший персональные данные своих коллег, обязан возместить затраты работодателя на возмещение ущерба, понесенного работником третьим лицам. Таким образом, работодатель вправе потребовать с виновного работника компенсации затрат на возмещение морального вреда пострадавшим, в том числе обратиться в суд в течение одного года со дня обнаружения причиненного ущерба. (часть 2 статья 392 ТК РФ)

Пленум ВС РФ устанавливает правило, в соответствии с которым работник несет материальную ответственность лишь в пределах сумм, выплаченных работодателем третьим лицам в счет возмещения ущерба, при условии наличия причинно-следственной связи между виновными действиями (бездействием) работника и причинением ущерба третьим лицам Пункт 15 Постановления Пленума ВС РФ от 16 ноября 2006 г. N 52 "О применении судами законодательства, регулирующего материальную ответственность работников за ущерб, причиненный работодателю".

Из вышесказанного можно сделать вывод, что наложение материальной ответственности на работника возможно только в случае выполнения следующих условий:

· разглашение произошло из-за виновного противоправного поведения работника (статья 233 ТК РФ);

· существует причинно-следственная связь между виновными действиями (бездействием) работника и причинением ущерба третьим лицам;

· неразглашение охраняемой законом тайны предусмотрено трудовым договором или приложением к нему, а такая тайна может стать известна работнику при выполнении им трудовых обязанностей;

· полная материальная ответственность за ущерб, причиненный разглашением сведений, составляющих охраняемую законом тайну, прямо предусмотрена федеральным законом.

Так, в статье 243 ТК РФ разглашение сведений, составляющих охраняемую законом тайну, является основанием для привлечения работника к полной материальной ответственности. Но, как справедливо отмечает профессор Ю.П. Орловский, Комментарий к Трудовому кодексу Российской Федерации. - 6-е изд., испр., доп., перераб. / Ответственный редактор профессор Ю. П. Орловский. Указ.работа С. 507 привлечь по этому основанию практически невозможно из-за отсутствия федеральных законов, которые предусматривали бы полную материальную ответственность за разглашение работником коммерческой и иной охраняемой законом тайны. Таким образом, работник в случае умышленного или неосторожного разглашения персональных данных при отсутствии в этих действиях состава преступления, несет только дисциплинарную ответственность в соответствии с законодательством РФ.

В соответствии с частью первой статьи 192 ТК РФ под дисциплинарным проступком понимается неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, то есть, нарушение требований законодательства, обязательств по трудовому договору, правил внутреннего трудового распорядка, должностных инструкций, положений, приказов работодателя, технических правил и тому подобное. Постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации», пункт 35Следовательно, работник, нарушивший установленные работодателем правила обработки персональных данных может быть подвергнут дисциплинарному взысканию в виде замечания, выговора или увольнения.

Кроме того, Трудовой кодекс предусматривает специальное основание для наказания работника, разгласившего персональные данные, в виде увольнения по подпункту «в» пункта 6 статьи 81 ТК РФ как однократного грубого нарушения трудовых обязанностей. Однако, в случае оспаривания работником увольнения по рассматриваемому основанию, работодатель будет обязан представить доказательства, свидетельствующие о том, что работник обязывался не разглашать персональные данные другого работника, которые стали ему известны в связи с исполнением им трудовых обязанностей?. пункт 43 Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 24.11.2015) "О применении судами Российской Федерации Трудового кодекса Российской Федерации" Так, сотрудницы ФГУП "Почта России" подали иск в суд, не согласившись с увольнением по подпункту «в» пункта 6 статьи 81 ТК РФ за разглашение персональных данных других сотрудников, поскольку они не были допущены к работе с персональными данными сотрудников, в их должностные обязанности не входила работа с персональными данными других сотрудников, и факт разглашения персональных данных отсутствует. Однако, ответчик предоставил суду приказ, определяющий перечень информации, составляющей коммерческую тайну, которым установлен режим коммерческой тайны по отношению к персональным данным работников предприятия. С указанным приказом истцы были ознакомлены. А также регламент доступа в сеть Интернет и работы с электронной почтой пользователей, входящих в состав корпоративной сети ФГУП "Почта России", который нарушили истицы, передав с помощью электронной почты информацию, входящую в перечень сведении? конфиденциального характера. Дав правовую оценку фактическим обстоятельствам дела в совокупности с представленными сторонами доказательствами, суд пришел к выводу об отказе истицам в удовлетворении заявленных требовании?, так как у ответчика имелись условия для применения к ним дисциплинарного взыскания в виде увольнения. Апелляционное определение Московского городского суда от 04.08.2015 по делу N 33-24617/15

За совершение дисциплинарного проступка работодатель вправе применить одно из дисциплинарных взысканий, при этом должна учитываться тяжесть совершенного проступка и обстоятельства, при которых он совершен. Если в ходе рассмотрении дела о восстановлении на работе суд придет к выводу, что дисциплинарное взыскание произведено без учета вышеуказанных обстоятельств, иск может быть удовлетворен. Однако, в указанном случае суд не вправе заменить увольнение другой мерой взыскания, поскольку в соответствии со статьей 192 ТК РФ наложение на работника дисциплинарного взыскания является компетенцией работодателя. Пункт 53 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 24.11.2015) "О применении судами Российской Федерации Трудового кодекса Российской Федерации"

Правомерна также позиция, что если персональные данные не получили огласки, работника нельзя привлечь к дисциплинарной ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работника. Так, по факту утраты личного дела истца ГОУ проведена служебная проверка, по результатам которой заключением комиссии не установлено вины работников юридического отдела ГОУ, в том числе начальника юридического отдела, поэтому она не привлекалась работодателем к дисциплинарной ответственности. Фактов распространения каких-либо персональных данных в результате утери личного дела, повлекших причинение какого-либо ущерба, убытков истцу, доказательств причинения морального вреда в связи с ограничением доступа к правосудию, истцом не представлено, при изложенных обстоятельствах суд не нашел оснований для удовлетворения заявленных требований Кассационное определение СК по гражданским делам Кировского областного суда от 18 января 2011 г. по делу N 33-94.

Вину работника можно установить в результате внутренней проверки или служебного расследования, которые могут проводиться специально созданной комиссией. В процессе проверки комиссия выясняет обстоятельства, при которых было совершено нарушение, устанавливает вину работника и причиненный ущерб. По итогам комиссией составляется акт, который подписывается всеми ее членами, а также ознакомляется под роспись работник, подозреваемый в разглашении персональных данных. Л.В. Куревина, "Отдел кадров государственного (муниципального) учреждения", N 10, октябрь 2013 г.

Порядок применения дисциплинарного взыскания устанавливается статьей 193 ТК РФ, согласно которой, работодатель должен запросить у работника, разгласившего персональные данные, предоставить в двухдневный срок письменное объяснение случившегося, после чего применять дисциплинарное взыскание. Причем, отказ работника в предоставлении объяснения не является препятствием для применения дисциплинарного взыскания (часть вторая статьи 193 ТК РФ), что отражается на практике, а именно, из материалов дела следует, что заведующий сектором общей и кадровой работы Л. разместил в компьютерной сети сообщение, содержащее персональные данные ряда сотрудников учреждения. Работнику было предложено предоставить объяснительную по данному факту, но он отказался, в следствие чего был составлен акт и приказом работодателя Л. привлечен к дисциплинарной ответственности в виде выговора. Суд оставил жалобу Л. об отмене дисциплинарного взыскания без удовлетворения. Решение Ханты-Мансийского автономного округа N 12-569 от 25 сентября 2012 г.

Как отмечено в статье 193 ТК РФ, дисциплинарное взыскание должно быть применено не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника или пребывания его в отпуске, и шести месяцев со дня его совершения. Если работник сочтет наложение на него дисциплинарного взыскания незаконным, то он на основании статьи 392 ТК РФ имеет право обратиться с иском в суд в течение трех месяцев со дня, когда он узнал о нарушении своего права или в течение одного месяца со увольнения.

3.2 Особенности рассмотрения дел о защите персональных данных работников судами РФ

В соответствии со статьей 24 Гражданско-процессуального кодекса РФ (далее - ГПК РФ) гражданские дела, подведомственные судам, за исключением дел, подсудных мировым судьями, военным судам и иным специализированным судам, верховному суду республики, краевому, областному суду, суду города федерального значения, суду автономной области и суду автономного округа, а также ВС РФ, рассматриваются районным судом в качестве суда первой инстанции. Таким образом, согласно правилу статьи 28 ГПК РФ дела о защите персональных данных работников рассматриваются в районных судах по месту жительства или месту нахождения ответчика.