Ответственность работодателя за нарушения закона о персональных данных (С. Семеновская, "Кадровая служба и управление персоналом предприятия", N 2, февраль 2012 г.)

Ответственность работодателя за нарушения закона о персональных данных

Прошлым летом законодатели внесли значительные изменения в Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных). Так, ужесточены меры, направленные на защиту персональных данных (ПДн), и ответственность за их неисполнение, уточнен перечень отношений, попадающих под действие закона, и круг лиц, на которых он распространяется. Кроме того, все документы организаций-операторов должны быть не только приведены в соответствие с новой редакцией Закона о персональных данных, но до 1 января 2013 года организации-операторы должны направить в территориальный орган Роскомнадзора РФ уведомление в установленной форме с приложением необходимого пакета документов (п. 2.1 ст. 25).

Практика показывает, что, несмотря на грозное предупреждение, а также то, что указанный срок с 1 января 2008 года продлевался официально не один раз, до сих пор не многие работодатели относятся к Закону о персональных данных с должной серьезностью. Некоторые руководители считают, что он к их деятельности вообще не имеет отношения, другие толком и не понимают, что надо делать (закон действительно написан так, что неспециалисту разобраться в нем довольно сложно). Третьи не спешат что-либо делать, надеясь, что "авось пронесет", или полагая, что у контролирующих органов руки до них дойдут нескоро (если вообще дойдут).

Есть также распространенное заблуждение, что если в организации не ведется автоматическая обработка персональных данных, все по старинке - горы пыльных стеллажей и тонны папок - то и делать ничего не надо. Но это не так. В ст. 1 Закона о персональных данных в новой редакции прямо указано, что он распространяется на отношения, связанные с обработкой персональных данных как с использованием средств автоматизации, так и без использования средств, если обработка персональных данных без использования этих средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Проще говоря, если в организации есть хоть одно личное дело (а оно есть у всех: генеральный директор - тоже работник, и на него распространяются все правила Трудового кодекса по оформлению кадровой документации), это считается сбором, хранением и обработкой персональных данных в целях Закона о персональных данных.

В некоторых крупных совместных предприятиях, филиалах и представительствах зарубежных компаний информация, содержащая персональные данные, размещена на компьютерах, находящихся за рубежом, и руководители считают, что и претензий к ним быть не может. Но вот контролирующие органы с ними не согласны - обработка персональных данных без автоматизации также должна вестись определенным образом, и абсолютно не важно, где физически находятся эти персональные данные, важно, кто их обрабатывает.

Отметим также, что многие полагают, что "просто так" их проверять не придут - нужно, чтобы кто-то пожаловался, и лишь тогда государственные органы начнут что-то предпринимать. А раз пока никого вокруг не трогают, никто ни на кого не жалуется, можно жить спокойно. Определенная логика в этом есть: предприятий, которые должны зарегистрироваться в качестве операторов персональных данных, оказалось много, и за всеми сразу не уследить. Да и граждане даже меньше, чем руководители предприятий, знают, на что конкретно и куда именно можно жаловаться.

Однако есть одно "но": если госорганы и могут что-то не успеть, то всегда найдутся "доброжелатели" и конкуренты, которые готовы помочь властям, а самому предпринимателю, соответственно, навредить. Сделать-то это совсем несложно: нужно просто найти гражданина, чьи персональные данные обрабатывались организацией, и предложить ему обратиться в Роскомнадзор России (орган, уполномоченный Законом о персональных данных осуществлять контроль за соблюдением этого закона) с жалобой на нарушение порядка обработки его персональных данных. Таким гражданином может стать, например, бывший работник предприятия, оставшийся чем-то недовольным после увольнения. А уж с персональными данными сотрудников практически всегда не все идеально. Само собой, ему не только подскажут, куда обратиться, но и все напишут за него...

Попробуем разобраться, на кого действительно распространяется действие данного закона и чем могут грозить предпринимателям и работникам, имеющим отношение к сбору, обработке, хранению и утилизации ПДн (в основном это работники кадровых подразделений и бухгалтерии), подобные заблуждения.

Под прицелом

Согласно ст. 1 Закона о персональных данных его действие не распространяется только на отношения, возникающие при:

- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в России;

- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

- предоставлении уполномоченными органами информации о деятельности судов в РФ в соответствии с Федеральным законом от 22.12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

Как видим, этот закон касается практически всех организаций всех форм собственности, а также филиалов и представительств, зарегистрированных на территории Российской Федерации. Более того, распространяет он свое действие на физических лиц и индивидуальных предпринимателей, которые работают с ПДн (а это, например, данные наемных работников и клиентов).

Паранойя на страже?

Следует отметить, что с момента внесения поправок (Федеральным законом от 25.07.2011 N 261-ФЗ) прошло уже полгода, но, как показывают проверки, проведенные Роскомнадзором РФ, практически во всех проверенных организациях имеются те или иные нарушения требований Закона о персональных данных.

В частности, согласно статистическим данным Роскомнадзора, опубликованным на официальном сайте ведомства www.rsoc.ru, операторы чаще всего допускают следующие нарушения рассматриваемого закона:

- обработка персональных данных оператором без согласия субъектов персональных данных (п. 1 ч. 1 ст. 6);

- несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям законодательства (ч. 4 ст. 9);

- избыточность обрабатываемых персональных данных субъекта применительно к целям обработки (п. 2, 4, 5 ст. 5).

Кроме того, предприятий, где есть в наличии весь комплект локальных нормативных актов, необходимый для защиты ПДн в соответствии с законом, назначены ответственные за неразглашение ПДн и подписаны соответствующие обязательства, ничтожно мало. Практически во всех организациях отсутствует текущий контроль за соблюдением мероприятий по защите ПДн.

Во многих компаниях (особенно небольших) отсутствуют специальные сейфы или хотя бы закрывающиеся ящики для личных дел сотрудников, дела стоят на открытых стеллажах, доступ к которым имеет любой вошедший. Нет достаточной защиты на компьютерах, где установлены автоматизированные системы учета ПДн работников (например, "Кадры-1С" и т.п.), к сетевым версиям при желании доступ может получить кто угодно.

Это может показаться неважным только на первый взгляд. На самом деле, кроме проблем, связанных с плановыми и внеплановыми проверками контролеров, из-за такой халатности у работников могут возникнуть серьезные проблемы. Приведем пример из практики.

Пример 1

Сотрудница "положила глаз" на ничего не подозревавшего коллегу, пару раз неосторожно ей подмигнувшего, но счастливо женатого. В обеденный перерыв она зашла в отдел кадров (сейф, как всегда, был открыт, а все работники ушли обедать) и выписала из личного дела домашний адрес и телефон, имя супруги и ребенка, кое-какие данные из автобиографии. После этого она начала забрасывать бедную женщину анонимными письмами и звонками, причем и ее, и ребенка называла по имени, как хорошая знакомая, рассказывала о прошлых местах работы, адресах, якобы "клубничных" похождениях мужа...

Хорошо, что все раскрылось до того, как несчастные супруги успели развестись. Но сколько было потеряно нервов, в семье начались скандалы, ребенок получил тяжелую моральную травму. Кроме того, получилось как в том анекдоте: "Ложки-то мы нашли, а впечатление, знаете ли, осталось...". Любвеобильную даму уволили, ловелас уволился сам, сотрудницам отдела кадров объявили выговор, сейф и кабинет закрыли для посторонних. Но это было задолго до принятия Закона о персональных данных, иначе потерпевшие муж и жена могли взыскать с предприятия значительную сумму морального ущерба, а наказание виновных было бы гораздо жестче. Прошло много лет, но с тех пор руководитель этой компании всегда принимает строгие меры (вплоть до выговора виновным), когда замечает нарушения, которые могут привести к разглашению персональных данных сотрудников.

У знакомого начальника отдела кадров все бумаги на столе лежат или в папках, или под каким-нибудь журналом. Если кто-то неожиданно входит в кабинет, она быстро переворачивает рабочие документы, сворачивая окошко кадровой программы на мониторе. Скажете - паранойя? А знаете ли вы, что некоторые хорошо умеют читать "вверх ногами"? Или имеют дурную привычку подходить с документами на подпись сзади или сбоку и вставать, с любопытством разглядывая экран и документы на столе? В какой фирме вам было бы комфортнее работать: где ваше личное дело может прочитать кто угодно, вплоть до клиентов и случайно зашедших "не в ту дверь" посетителей, или там, где все под надежной охраной таких "параноиков"?

Как аукнется...

Увольнение - далеко не самое страшное наказание за нарушение требований Закона о персональных данных. В соответствии со ст. 24 названного закона нарушители несут уголовную, гражданскую, дисциплинарную и другую, оговоренную законодательством РФ ответственность. В Таблице перечислено, какие проблемы могут возникнуть у операторов ПДн, а также ответственных лиц.

Таблица

Проблема	Ущерб	Основание	Примечание
Гражданские иски от работников или их представителей о возмещении фактического и морального вреда	Цена иска может составить до полутора миллионов рублей - в зависимости от тяжести наступивших последствий	ст. 90 ТК РФ, ст. 151 ГК РФ, ч. 2 ст. 1099 ГК РФ	Если, например, жена узнала в отделе кадров телефон любовницы - секретарши мужа - и устроила скандал, а он после этого получил инфаркт и умер, вполне могут и миллион рублей взыскать за моральный ущерб
Материальная ответственность работника за виновное нарушение норм, регулирующих получение, обработку и защиту персональных данных работников	В соответствии с п. 7 ч. 1 ст. 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну	ст. 90, 238 ТК РФ, п. 7 ч. 1 ст. 243 ТК РФ	В результате незаконного распространения информации о ПДн работника последнему может быть причинен моральный вред, подлежащий возмещению работодателем. В соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 ст. 238 под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен работнику такими действиями
Потеря репутации	Репутация бесценна		Особенно неприятно, если инцидент будет опубликован в СМИ. Конкуренты не дремлют!
Прекращение или приостановление разрешения на обработку ПДн Блокирование или уничтожение данных, полученных незаконным путем	Это полная остановка в деятельности всей организации на соответствующий срок	п. 4 ч. 3 ст. 23 Закона о персональных данных, подп. 3 п. 3 ст. 23 Закона о персональных данных	Применяется органами Роскомнадзора на основании материалов проверки. При этом незаконно полученными данными могут быть признаны, например, личные дела или анкеты работников при неправильном оформлении документов или несоблюдении требований закона
Возбуждение уголовного дела сотрудниками правоохранительных органов вследствие поступления материалов о правонарушениях, связанных с нарушением прав субъектов ПДн	Следственные действия - обыски, выемка документов, допросы работников и клиентов, куча нервотрепки при общении с правоохранительными органами... Ущерб очевиден	ст. 90 ТК РФ, ст. 137 УК РФ, разделы 6 и 7 УПК РФ	К ответственности могут и не привлечь, но время, нервы и деньги (в размере неполученного дохода за время простоя и суматохи) будут безвозвратно потеряны
Привлечение к уголовной ответственности людей, виновных в несоблюдении требований, оговоренных в ст. 137 УК РФ (незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ (ч. 1), а также те же деяния лицом с использованием своего служебного положения (ч. 2)	По ч. 1 - незаконные действия наказываются штрафом в сумме до 200 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев; ч. 2 - штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев	ст. 90 ТК РФ, ст. 137 УК РФ	Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности. То же касается в основном работников отделов кадров и бухгалтерии
Привлечение к административной ответственности организации и людей, виновных в несоблюдении требований, оговоренных в ст. 13.11 КоАП РФ	Предупреждение или наложение административного штрафа: - на граждан - от 300 до 500 руб.; - на должностных лиц - от 500 до 1000 руб.; - на юридических лиц - от 5000 до 10 000 руб. Может применяться неоднократно до устранения нарушения, если оно имеет длящийся характер (например, за отсутствие необходимого локального нормативного акта - до его издания)	ст. 90 ТК РФ, ст. 13.11 КоАП РФ, ст. 2.4 КоАП РФ	Под должностным лицом понимается лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Как указал Верховный Суд РФ в постановлении от 10.02.2000 N 6 "О судебной практике по делам о взяточничестве и коммерческом подкупе", организационно-распорядительные функции включают в себя руководство коллективом, расстановку и подбор кадров, организацию труда или службы подчиненных, поддержание дисциплины, применение мер поощрения и наложение дисциплинарных взысканий
Привлечение к административной ответственности граждан и должностных лиц за разглашение персональных данных, доступ к которым ограничен законом	Наложение административного штрафа: - на граждан - в размере от 500 до 1000 руб.; - на должностных лиц - от 4000 до 5000 руб.	ст. 13.14 КоАП РФ
Работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной ответственности	К нему могут быть применены следующие виды дисциплинарной ответственности: - замечание, - выговор, - увольнение в зависимости от тяжести проступка, наступивших последствий и сопутствующих обстоятельств	ст. 90 ТК РФ, подп. "в" п. 6 ч. 1 ст. 81 ТК РФ, ст. 193 ТК РФ	По статистике судебных органов, касается прежде всего сотрудников отделов кадров и бухгалтерии

К нам едет ревизор

Основным контролирующим ведомством в сфере защиты ПДн, который мы уже упоминали, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор РФ). В ст. 23 Закона о персональных данных установлены права и обязанности контролера. В целом служба отвечает за организацию защиты и обработки ПДн.

Технические аспекты защиты информационных систем обработки ПДн контролирует Федеральная служба по техническому и экспортному контролю (ФСТЭК РФ). Она проверяет технические средства защиты ПДн, работающие с помощью некриптографических способов защиты информации.

ФСБ России осуществляет надзор над разработкой, изготовлением, реализацией и использованием криптографических (шифровальных) средств защиты ПДн, а также над предоставлением услуг по шифрованию ПДн при обработке их в информационных системах.

Федеральная инспекция труда России также имеет полномочия на проведение государственного контроля и надзора за соблюдением норм ТК РФ и других нормативных актов, содержащих нормы трудового права, включая защиту персональных данных (ст. 354 ТК РФ).

Не так страшен черт...

Очень хочется закончить статью на позитиве. В новой редакции Закон о персональных данных такой позитив есть - это ч. 2 ст. 22. По сути, он является спасательным кругом для большинства организаций, которые занимаются обработкой персональных данных.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, обрабатываемых в соответствии с трудовым законодательством, а также необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

Это огромное преимущество. Во-первых, организациям, которые обрабатывают ПДн исключительно в рамках трудового законодательства, не надо регистрироваться в органах Роскомнадзора РФ в качестве операторов ПДн и составлять уведомление с перечнем мер и действий по защите персональных данных и еще довольно большого объема сведений, перечисленных в п. 3 упомянутой статьи (например, о том, как обеспечивается безопасность персональных данных в компании). То есть операторами ПДн они являются, Закон о персональных данных должны соблюдать и всю документацию по защите ПДн привести в соответствие с законом, но уведомления до 1 января 2013 года в Роскомнадзор России им подавать не нужно. Во всяком случае - согласно редакции закона, действующей на данный момент.

Во-вторых, чтобы соблюсти требование Закона о защите персональных данных и привести все документы в соответствие с летними изменениями, им необходимо лишь наладить внутреннюю систему защиты информации, содержащей ПДн, и принять ряд локальных нормативных актов. К слову, в организациях, которые строго соблюдают закон и отслеживают все изменения, такие локальные нормативные акты уже давно есть, они оговорены в гл. 14 ТК РФ. Поэтому компаниям лишь необходимо внести в эти акты соответствующие изменения.

В-третьих, основной источник проверок Роскомнадзора - ошибки и нарушения в уведомлениях у тех операторов ПДн, для которых подача уведомлений обязательна. А значит, у организаций, обрабатывающих ПДн только в рамках трудового законодательства, есть время спокойно привести все в соответствие, пока у проверяющих действительно до них "руки дойдут".

В следующих номерах читайте о том, как привести документы в соответствие с Законом о персональных данных.

С. Семеновская,

юрист, налоговый консультант,

руководитель проекта Инепроблема.ру

"Кадровая служба и управление персоналом предприятия", N 2, февраль 2012 г.