Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Комментарий к статье 90 ТК РФ
Комментируемая статья предусматривает ответственность лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника. Указанные виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Эта норма не предусматривает конкретных мер, применяемых при совершении соответствующих правонарушений. Она носит отсылочный характер и не исчерпывает видов юридической ответственности.
Прежде всего в ней говорится о привлечении виновных к дисциплинарной и материальной ответственности.
Привлечение к дисциплинарной ответственности производится в соответствии со ст. ст. 192, 193, 195 ТК (см. коммент. к ним) и к материальной ответственности в соответствии со ст. ст. 237, 238, 241 ТК (см. коммент. к ним).
В случае разглашения персональных данных работника с сотрудником, разгласившим эти данные, может быть расторгнут трудовой договор по инициативе работодателя в соответствии с подп. "в" п. 6 ч. 1 ст. 81 ТК.
Административная ответственность установлена за нарушение порядка сбора, хранения или распространения информации о гражданах (персональных данных). Статья 13.11 КоАП предусматривает, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5000 до 10000 руб.
Уголовным кодексом предусмотрена ответственность за нарушение неприкосновенности частной жизни. Статья 137 УК устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Если эти же преступления совершены лицом с использованием своего служебного положения, то они наказываются штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Следует иметь в виду, что понятие "частная жизнь" охватывает собой: жизнедеятельность человека в сфере семейных, бытовых, личных, интимных отношений, не подлежащих контролю государства, общественных организаций, граждан; свободу уединения, размышлений, вступления в контакты с другими людьми или воздержание от таких контактов; свободу высказываний и правомерных поступков вне сферы служебных отношений; тайну жилища, дневников, других личных записей, переписки, других почтовых отправлений, телеграфных и иных сообщений, содержание телефонных и иных переговоров; тайну усыновления, гарантированную возможность доверить свои личные и семейные тайны священнику, врачу, адвокату, нотариусу без опасения их разглашения <1>.
--------------------------------
<1> См.: Конституция Российской Федерации: Комментарий / Под ред. Б.Н. Топорнина, Ю.М. Батурина, Р.Г. Орехова. М., 1994. С. 149, 150.
Неприкосновенность частной жизни, личная и семейная тайна являются предметом защиты и гражданского права (ст. 150 ГК).
Кроме персональных данных о частной жизни работника к его персональным данным относится и иная информация, необходимая работодателю. Так, например, на основании п. 8 ч. 1 ст. 12 Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации" (в ред. от 21.11.2011) <1> муниципальный служащий обязан предоставлять в установленном порядке сведения о себе и своей семье, а также сведения о полученных им доходах и принадлежащем ему на праве собственности имуществе, являющемся объектом налогообложения, об обязательствах имущественного характера.
--------------------------------
<1> СЗ РФ. 2007. N 10. Ст. 1152; 2008. N 30 (ч. 2). Ст. 3616; N 44. Ст. 4987, ст. 4988; N 48. Ст. 5514; N 52 (ч. 1). Ст. 6222, ст. 6235; 2009. N 29. Ст. 3597; 2011. N 19. Ст. 2709; N 43. Ст. 5976.
В ряде случаев работодатель должен запросить сведения о претенденте на соответствующую должность, в частности о том, не лишено ли данное лицо права занимать должность, на которую оно претендует.
Другой комментарий к статье 90 ТК РФ
1. Вследствие нарушения норм, регулирующих обработку и защиту персональных данных, предусмотрено наступление различных видов юридической ответственности. Помимо ТК РФ положение о наступлении ответственности в данном случае содержится в ст.24 ФЗ "О персональных данных".
Основанием для применения ответственности в рассматриваемой сфере могут быть различные нарушения предусмотренного федеральными законами и иными нормативными правовыми актами порядка получения, обработки и защиты персональных данных. Указанные деяния могут быть классифицированы на две группы:
- деяния, которые привели к получению доступа к персональным данным неуполномоченных (третьих) лиц - это разглашение, передача, хищение информации, нарушение правил сбора (получения) и хранения информации, утрата документов, а также несанкционированное использование информации, приведшее к ее разглашению;
- деяния, которые совершены в нарушение установленных правил сбора, хранения и обработки информации, но не привели к получению информации неуполномоченными лицами, - это утрата, уничтожение и использование, нарушение порядка хранения, получения, передачи, комбинирования, систематизации, накопления, уточнения, обезличивания, блокирования, уничтожения без ее разглашения.
Обязательным условием применения ответственности является виновность лица в нарушении требований по обработке и защите персональных данных и противоправность его деяния.
Субъектами правонарушений могут быть:
- работодатель и его представители, нарушившие требования по обработке и защите персональных данных;
- работники, получившие доступ к персональным данным в связи с исполнением трудовой функции.
Работники вправе обжаловать в суд неправомерные действия или бездействия работодателя по обработке и защите их персональных данных (ст.89 ТК РФ). Данное деяние составляет предмет индивидуального трудового спора, который рассматривается непосредственно в судах, минуя комиссию по трудовым спорам (см. ст.391 ТК РФ и комментарий к ней).
2. За нарушение норм о получении, обработке и защите персональных данных возможно привлечение работника к дисциплинарной ответственности. Мерами дисциплинарной ответственности работника являются: замечание, выговор и увольнение (см. комментарий к ст.192).
За разглашение работником персональных данных другого работника возможно увольнение по пп."в" п.6 ч.1 ст.81 ТК РФ. В первоначальной редакции данной статьи отсутствовало указание на возможность увольнения за разглашение персональных данных. Федеральным законом от 30 июня 2006 года N 90-ФЗ в нее внесено соответствующее дополнение.
Для применения дисциплинарного взыскания в виде увольнения за разглашение персональных данных необходимо учесть ряд обстоятельств.
Во-первых, увольнение возможно только за разглашение персональных данных. Следовательно, не допускается увольнение работника за незаконное использование или нарушение порядка получения и обработки персональных данных.
ТК РФ не раскрывает содержания данного понятия. Отсутствуют разъяснения на этот счет и в постановлении Пленума ВС РФ о применении судами ТК РФ.
Анализ законодательства позволяет выделить следующие подходы к формулированию определения понятия "разглашение":
- указание на действие - разглашение без характеристики его содержания, что препятствует точному определению объективной стороны данного правонарушения (например, пп."в" п.6 ч.1 ст.81 и п.6 ч.4 ст.349.1 ТК РФ);
- наличие понятия "разглашение" применительно к отдельным видам информации ограниченного доступа (например, ст.3 ФЗ "О коммерческой тайне");
- употребление дефиниций "распространение" (ст.3 ФЗ "О персональных данных", ст.2 ФЗ "Об информации, информационных технологиях и защите информации").
Представляется, что распространение и разглашение информации приводят к одинаковым последствиям: в результате информация становится известной другим лицам. Отличие же, по нашему мнению, состоит в том, что термин "разглашение" должен применяться только в отношении информации ограниченного доступа и представляет собой ряд неправомерных деяний лица. Однако в литературе существует другая позиция по данному вопросу. Так, М.Ю.Костенко обосновывает необходимость дифференциации правомерного и неправомерного разглашения налоговой тайны. На наш взгляд, именно распространение информации может быть как правомерным, так и неправомерным деянием. При правомерном распространении информации состав правонарушения может быть выражен в нарушении порядка распространения и обнародования сведений. Поэтому разглашение персональных данных - это всегда противоправное действие, содержание которого составляет незаконное сообщение персональных данных неуполномоченным лицам.
________________
См.: Костенко М.Ю. Налоговая тайна: Научно-практическое пособие. М.: Издательство БЕК, 2003. С.113.
Во-вторых, значение имеет содержание персональных данных, которые были разглашены. В пп."в" п.6 ч.1 ст.81 ТК РФ речь идет именно о персональных данных другого работника. Следовательно, уволить работника можно, только если он разгласил персональные данные другого работника.
Приведем пример из судебной практики. Р. была уволена по пп."в" п.6 ч.1 ст.81 ТК РФ за разглашение персональных данных, которое выразилось в предоставлении своей дочери для обращения в суд копий рабочих ведомостей, в которых было указано вознаграждение лицам, заключившим договоры подряда с МУП "ССС", то есть содержались персональные данные лиц, не являющихся работниками. В Положении МУП об обработке и защите персональных данных, с которым была ознакомлена под роспись Р., под работниками подразумеваются все лица, заключившие договоры с МУП "ССС". Суд указал, что лица, заключившие договоры подряда с МУП "ССС", его работниками в смысле трудового законодательства не являются, так как трудового договора с ними не заключалось. Поэтому к дисциплинарной ответственности в виде увольнения Р. привлечена неправомерно (см. решение Ломоносовского районного суда г.Архангельска от 3 июня 2009 года по делу N 2-1880/09).
Конечно же, данное обстоятельство не способствует эффективной защите персональных данных. На работодателя как оператора персональных данных возлагается обязанность обеспечить защиту всех получаемых и обрабатываемых персональных данных, в том числе клиентов, пациентов, абонентов и т.д. Поэтому законодательство в этой части требует совершенствования за счет исключения указания на персональные данные только другого работника.
В-третьих, в пп."в" п.6 ч.1 ст.81 ТК РФ не указано на то, что увольнение возможно только за разглашение персональных данных конфиденциального характера.
Например, Т. был уволен по пп."в" п.6 ч.1 ст.81 ТК РФ. Поводом для увольнения послужил факт направления истцом по электронной почте объяснительных записок работников на свой электронный адрес. Суд установил, что объяснительные записки работников К., К, А, П. и Т. содержат фамилии работников, их инициалы и должности. Поскольку данные работники, находясь на рабочем месте, носят бейджи, на которых открыто размещены вышеуказанные сведения, то персональные данные, содержащиеся в вышеуказанных объяснительных записках, следует считать общедоступными. Поэтому факт разглашения Т. персональных данных работников не нашел своего подтверждения в судебном заседании, в связи с чем не имелось оснований для увольнения истца (см. решение Фрунзенского районного суда г.Владивостока от 14 января 2010 года).
В приведенном случае отсутствовал сам факт разглашения - сведения, содержащиеся в объяснительных записках, не были сообщены неуполномоченным лицам.
Следует отметить, что в пп."в" п.6 ч.1 ст.81 ТК РФ использована неясная формулировка "охраняемая законом тайна …, в том числе персональные данные". Из смысла этой формулировки следует, что персональные данные должны составлять охраняемую законом тайну, например, личную или семейную тайны. Однако персональные данные включают любые сведения о физическом лице. Следовательно, уволить можно только за те персональные данные, которые составляют охраняемую законом тайну. ВС РФ указывает только на "относимость" разглашенных персональных данных к персональным данным другого работника (постановление Пленума ВС о применении судами ТК РФ). В связи с этим суды, как правило, также не принимают во внимание то, составляют ли разглашенные персональные данные охраняемую законом тайну.
ФЗ "О персональных данных" устанавливает требование по обеспечению конфиденциальности всех персональных данных: лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом (ст.7). Следовательно, если субъект персональных данных не определил их как общедоступные, то оператору необходимо обеспечить конфиденциальность таких персональных данных. Очевидно, что в составе персональных данных работника в ТК РФ следует определить общедоступные персональные данные работника, а именно фамилию, имя, отчество работника, сведения об образовании, трудовой функции. В отсутствие такого указания как разглашение персональных данных может быть расценен факт публичного поздравления работодателем работника с юбилеем без согласия работника. На наш взгляд, серьезные правовые последствия должны быть предусмотрены за разглашение специальных категорий персональных данных и данных, в отношении которых обладателем установлен режим конфиденциальности.
В-четвертых, для увольнения работника по рассматриваемому основанию необходимо также соблюсти условия правомерности расторжения трудового договора, предусмотренные в п.43 постановления Пленума ВС о применении судами ТК РФ.
К таким условиям отнесены следующие:
- сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне, либо персональным данным другого работника;
- эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей;
- работник принимал обязательство не разглашать такие сведения (см. комментарий к ст.81).
Дополнительным условием правомерности применения дисциплинарного взыскания является соблюдение его порядка, предусмотренного ст.193 ТК РФ (см. комментарий к ст.193).
Обязанности работника по обработке, защите и неразглашению персональных данных должны быть предусмотрены в трудовом договоре такого работника. В ч.4 ст.57 ТК РФ указывается на возможность включения в трудовой договор дополнительного условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). В этой статье отсутствует указание на возможность включения в трудовой договор обязанностей, связанных с обеспечением конфиденциальности персональных данных. Однако внесение такого условия в текст трудового договора не будет противоречить трудовому законодательству. Обязанность не раскрывать третьим лицам и не распространять без согласия субъекта его персональные данные закреплена в ст.7 ФЗ "О персональных данных". Поэтому включение соответствующего условия в трудовой договор не будет ухудшать положение работника по сравнению с законодательством. Кроме того, это позволит четко определить круг лиц, допускаемых к персональным данным в силу исполнения своих трудовых обязанностей.
Основанием для применения к работнику других видов дисциплинарных взысканий может быть нарушение установленных правил сбора, хранения и обработки информации, которые не привели к получению информации неуполномоченными лицами. К таковым относятся замечание и выговор (см. ст.192 ТК РФ). Эти взыскания могут быть применены за любые нарушения требований обработки и защиты персональных данных, кроме разглашения. При их применении также должен соблюдаться порядок применения дисциплинарного взыскания (см. комментарий к ст.193).
Для привлечения работника к дисциплинарной ответственности необходимо, чтобы работник нарушил требования законодательства, иных нормативных правовых актов, ЛНА по обработке и защите персональных данных, а также условий трудового договора на этот счет. Иначе взыскание будет применено незаконно.
Приведем пример из судебной практики. В ходе планового аудита служебной электронной почты работников компании была выявлена периодическая рассылка истицей писем, содержащих персональные данные работников компании, на почтовый ящик. В числе отправленных документов были документы для оценки персонала, документы о занимаемых должностях, фамилии, имена, отчества работников, сведения о начисленных мотивационных выплатах, о процентных ставках премирования, о заработной плате работников и их должности. В связи с этим истица была уволена по пп."в" п.6 ч.1 ст.81 ТК РФ с должности начальника по работе с персоналом. Суд отказал истице в восстановлении на работе. В ОАО было утверждено Положение об обеспечении сохранения информации, отнесенной к конфиденциальной информации; истица была включена в список работников, допущенных к персональным данным. Кроме того, в результате неправомерных действий истицы персональные данные работников стали известны третьему лицу (ООО Мейл.ру). Порядок применения дисциплинарного взыскания работодателем был соблюден (см. решение Химкинского городского суда Московской области от 20 июля 2010 года).
3. За нарушение требований обработки и защиты персональных данных к работнику может быть применена материальная ответственность. Однако разглашение персональных данных не является основанием для применения полной материальной ответственности по п.7 ст.243 ТК РФ. В этой статье нет указания на разглашение персональных данных, как это сделано в пп."в" п.6 ч.1 ст.81 ТК РФ. На наш взгляд такое положение является существенным упущением законодателя, которое требует устранения. На сегодняшний день работника, причинившего ущерб нарушением требований по обработке и защите персональных данных, можно привлечь только к ограниченной материальной ответственности, то есть в пределах его среднего заработка (см. комментарий к разделу 11).
4. Согласно ч.2 ст.17 ФЗ "О персональных данных" субъект персональных данных имеет право на возмещение убытков. В трудовых отношениях с работника не могут быть взысканы убытки, так как они отнесены к гражданско-правовой ответственности. Убытки по нормам гражданского законодательства включают не только прямой действительный ущерб, но и упущенную выгоду. Взыскание упущенной выгоды невозможно по нормам ТК РФ. Исключение составляет руководитель организации, с которого в предусмотренных законом случаях могут быть взысканы убытки, причиненные его виновными действиями (ст.277 ТК РФ). Данная норма отсылает к другим федеральным законам, предусматривающим взыскание убытков с руководителя организации. Обязанность возместить убытки, причиненные разглашением информации ограниченного доступа (к таковой отнесены и персональные данные) или ее неправомерным использованием, предусмотрена в ч.2 ст.17 ФЗ "Об информации, информационных технологиях и защите информации". В данной норме не конкретизирован субъект такой обязанности. Согласно п.2 ст.25 ФЗ "О государственных и муниципальных унитарных предприятиях" руководитель несет ответственность за убытки, причиненные его виновными действиями (бездействиями). Данный федеральный закон позволяет взыскать с руководителя убытки, в том числе за нарушение требований по обработке и защите персональных данных. Взыскать же убытки с руководителя общества с ограниченной ответственностью не представляется возможным, так как по норме п.2 ст.44 ФЗ "Об обществах с ограниченной ответственностью" руководитель возмещает обществу убытки, если основания и размер ответственности не установлены федеральными законами. По справедливому замечанию О.В.Абрамовой, ТК РФ как раз и является тем федеральным законом, ч.1 ст.277 которого предусматривает иные основания и иной размер ответственности - полную материальную ответственность за прямой действительный ущерб, причиненный организации.
________________
Права работодателей в трудовых отношениях / Под ред. А.Ф.Нуртдиновой, Л.А.Чикановой. М.: Эксмо, 2010. С.422.
Дополнительно в ч.2 ст.17 ФЗ "Об информации, информационных технологиях и защите информации" требование о возмещении убытков поставлено в прямую зависимость от принятия мер по соблюдению конфиденциальности информации ограниченного доступа. Такие меры должны были быть приняты лицом, предъявляющим требования о возмещении убытков. Кроме того, принятие таких мер являлось обязанностью данного лица.
5. Согласно ч.2 ст.24 ФЗ "О персональных данных" за нарушение правил обработки персональных данных и требований по их защите субъекту персональных данных возмещается моральный вред. В соответствии со ст.237 ТК РФ работодатель возмещает моральный вред, причиненный работнику неправомерными действиями. В числе таких неправомерных действий может быть нарушение законодательства о персональных данных.
Моральный вред определяется как физические или нравственные страдания лица, причиненные действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом (ст.151 ГК РФ). В постановлении Пленума ВС РФ от 20 декабря 1994 года N 10 "Некоторые вопросы применения законодательства о компенсации морального вреда" предусмотрено, что по данным спорам суды должны устанавливать, чем подтверждается факт причинения потерпевшему нравственных или физических страданий, при каких обстоятельствах и какими действиями (бездействием) они нанесены, степень вины причинителя вреда, какие нравственные или физические страдания перенесены потерпевшим, в какой сумме он оценивает их компенсацию, а также другие обстоятельства, имеющие значение для разрешения конкретного спора.
Например, ООО "Авиакомпания "Авис ДВ" без согласия и уведомления истцов представило в Дальневосточное межрегиональное территориальное управление воздушного транспорта ошибочные сведения о том, что истцы являются работниками ООО "Авиакомпания "Авис ДВ". Указанные сведения содержали персональные данные истцов. В результате сообщения сведений, не соответствующих действительности, о том, что истцы являются работниками ООО "АК "Авис ДВ", пострадала деловая репутация истцов, так как ответчик является конкурирующей авиакомпанией работодателя истцов. Сложившаяся обстановка сделала психологически невозможным исполнение истцами своих обязанностей в обычном для них режиме. Суд первой инстанции удовлетворил исковые требования истцов и определил размер компенсации причиненного им морального вреда по 15000 руб. каждому. Судебная коллегия не нашла оснований для отмены этого решения (см. кассационное определение Судебной коллегии по гражданским делам Хабаровского краевого суда г. по делу N 33-8225).
6. К административной ответственности за правонарушения в области персональных данных могут быть привлечены как работники, так и работодатели. Привлечение к административной ответственности работника может быть произведено независимо от применения к нему материальной и дисциплинарной ответственности.
В КоАП РФ закреплены специальные составы правонарушений в рассматриваемой сфере.
По ст.13.11 КоАП РФ наказывается нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Под данную норму попадают нарушения требований ст.ст.86-89 ТК РФ, а также требований ФЗ "О персональных данных" и иных нормативных правовых актов в этой сфере. К ответственности могут быть привлечены как работники, так и работодатель.
Например, ГУ "Центр занятости населения" решением мирового судьи был привлечен к административной ответственности по ст.13.11 КоАП РФ за обработку специальной категории персональных данных (национальная принадлежность) в анкете, предоставляемой работниками для заполнения при трудоустройстве, без их письменного согласия. Данное решение было обжаловано. Районный суд освободил ГУ от административной ответственности в связи с малозначительностью совершенного им административного правонарушения и ограничился устным замечанием. В обоснование своего решения суд указал, что, заполняя анкету, гражданин сообщает сведения о себе, относящиеся к категории персональных данных, добровольно и подтверждает это своей подписью. Из смысла п.п.1 и 2, ч.2 ст.6 ФЗ "О персональных данных" не требуется согласия субъектов персональных данных при заключении трудовых договоров (см. решение Советского районного суда г.Уфы от 5 мая 2011 года).
На наш взгляд, можно не согласиться с доводами суда о том, что обработка персональных данных в этом случае допускалась без согласия работника. Согласно ч.2 ст.10 ФЗ "О персональных данных" в редакции, действовавшей на момент вынесения этого решения, обработка специальных категорий персональных данных допускалась с письменного согласия субъекта. Другие случаи обработки не подпадают под рассматриваемую ситуацию. Федеральным законом от 25 июля 2011 года N 261-ФЗ в ст.10 ФЗ "О персональных данных" включено указание на возможность обработки специальных категорий персональных данных в соответствии с трудовым законодательством.
Отдельно в КоАП РФ предусмотрена ответственность за разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст.13.14). Персональные данные относятся к информации ограниченного доступа, поэтому их разглашение подпадает под состав ст.13.14 КоАП РФ. При этом следует обратить внимание на то, что по данной статье к ответственности могут быть привлечены только граждане и должностные лица.
Кроме того ст.13.11.1 КоАП РФ предусмотрена ответственность за распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера. Данное правонарушение влечет наложение административного штрафа на граждан - от пятисот до одной тысячи рублей; на должностных лиц - от трех тысяч до пяти тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
Применение штрафов за нарушение законодательства о персональных данных является карательной мерой. Однако следует согласиться с Н.И.Петрыкиной в том, что виновное лицо должно восстановить установленный федеральным законодательством нарушенный порядок оборота персональных данных и обеспечить тем самым соблюдение прав субъекта персональных данных.
________________
Петрыкина Н.И. Правовое регулирование оборота персональных данных. Теория и практика. М.: Статут, 2011. С.90.
В ст.5.39 КоАП РФ предусмотрена административная ответственность за неправомерный отказ в предоставлении гражданину информации, предоставление которой предусмотрено федеральными законами, либо за несвоевременное ее предоставление, либо предоставление заведомо недостоверной информации. Обязанность работодателя предоставить работнику информацию о его персональных данных вытекает из ст.ст.62, 89 ТК РФ, а также ст.14 ФЗ "О персональных данных". Случаи ограничения данного права закреплены в ч.8 этой статьи.
7. В УК РФ отсутствуют нормы, предусматривающие уголовную ответственность за нарушение законодательства в области персональных данных. Однако существуют составы преступлений, связанные с теми персональными данными, которые составляют охраняемую законом тайну, а именно: ст.137 - нарушение неприкосновенности частной жизни; ст.138 - нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений; ст.155 - разглашение тайны усыновления (удочерения); ст.183 - незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Более жесткие санкции предусмотрены по данным составам для лиц, использующих свое служебное положение. Дополнительно может быть обозначен состав по ст.140 УК РФ: отказ в предоставлении гражданину информации.
8. Для привлечения работника к ответственности за нарушение конфиденциальности персональных данных необходимо доказать, что работодателем был введен режим их конфиденциальности. В этих целях работодатель, как оператор персональных данных, обязан принять необходимые правовые, организационные и технические меры. Также работодатель обязан обеспечивать их принятие для защиты персональных данных от неправомерного и случайного доступа к ним, уничтожения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч.1 ст.19 ФЗ "О персональных данных"). Состав и перечень мер определяются работодателем самостоятельно. Примерный перечень таких мер определен в ст.18.1 указанного закона. Несоблюдение работодателем требований федеральных законов и иных нормативных правовых актов по установлению системы защиты персональных данных делает невозможным привлечение работника к юридической ответственности за нарушение сохранности персональных данных.
Так, например, суд удовлетворил требования прокурора Тяжинского района Кемеровской области и обязал Управление образования принять меры к организации архива органа опеки и попечительства в целях исключения доступа посторонних лиц к конфиденциальной информации, установив ответчику срок для совершения указанных действий - 3 месяца. Было установлено, что материальные и технические условия органа опеки и попечительства не обеспечивают соблюдение тайны усыновления, конфиденциальности данных о детях-сиротах и детях, оставшихся без попечения родителей, поэтому не могут в полном объеме ограничить доступ посторонних лиц к данной информации. Специалисты органа опеки и попечительства размещены в одном кабинете. В этом же кабинете ведется прием граждан и работа с ними, а также хранятся все архивные документы, которые размещены на стеллажах, в коробках на полу. Сейфы для архивных документов в органе опеки и попечительства отсутствуют. Оконный проем кабинета металлической решеткой не оснащен, дверь в кабинет изготовлена из дерева (см. решение Тяжинского районного суда Кемеровской области по делу N 2-268/2011 г.).
Приведенный пример свидетельствует о том, что работников данного работодателя будет затруднительно привлечь к ответственности за нарушение конфиденциальности персональных данных, поскольку именно работодатель должен создать условия для ограничения свободного доступа к персональным данным.
Следует обратить внимание, что прекращение трудовых отношений с работником не влечет прекращения обязанностей работодателя по обеспечению режима конфиденциальности персональных данных и соблюдению требований по их защите.
Например, суд признал незаконными действия ИФНС г.Магнитогорска Челябинской области по предоставлению СТУ (прежнему работодателю истца) копий приказа о назначении истца на должность и копии его трудовой книжки без его согласия и взыскал компенсацию морального вреда 800 руб. (см. решение Заельцовского районного суда г.Новосибирска Новосибирской области от 15 декабря 2010 года).
При оценке данного решения следует указать на норму ст.64.1 ТК РФ, предписывающую новому работодателю сообщить бывшему нанимателю государственного и муниципального служащего о заключении с таковым трудового договора. Поэтому, если соответствующий запрос был сделан в рамках данной нормы, то действия следует признать правомерными, а решение суда ошибочным.
Уполномоченным органом по осуществлению контроля и надзора за обработкой персональных данных является Роскомнадзор (постановление Правительства РФ от 16 марта 2009 года N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций"). Роскомнадзор вправе обращаться в суд с исковыми требованиями по защите прав субъектов персональных данных; направлять в правоохранительные органы материалы для возбуждения уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных; привлекать виновных в нарушении законодательства о персональных данных к административной ответственности. Кроме того, Роскомнадзор обязан рассматривать жалобы и обращения граждан по вопросам, связанным с обработкой персональных данных. Работник может обратиться в Роскомнадзор с жалобой на нарушение порядка обработки его персональных данных. Такое обращение может быть сделано в электронной форме и направлено на официальный сайт Роскомнадзора.