Нарушения в работе с персональными данными

Нарушения в работе с персональными данными

Примеры нарушения в работе с персональными данными из практики. С какими последствиями могут столкнуться компании, которые допустили нарушения в работе с персональными данными. Какие действия следует предпринять при утечке персональных данных: когда сообщать в Роскомнадзор, а когда — в ФСБ.

Пример N1. Незаконное распространение персональных данных контрагентом

Ситуация: Две компании заключили договор возмездного оказания услуг. В договоре стороны не предусмотрели обязанность об использовании персональных данных сотрудников компаний только в рамках договорных обязательств.

Заказчик отказался платить, из-за чего Исполнитель в одностороннем порядке расторг договор.

После этого Заказчик незаконно распространил персональные данные сотрудников Исполнителя (фамилии, имена, телефоны, адреса электронной почты), и передал их в ФНС, а также своим контрагентам.

У Заказчика накопилась много долгов, и сотрудникам Исполнителя стали на регулярной основе поступать звонки с требованиями погасить задолженность.

Последствия: Незаконное распространение персональных данных привело к убыткам
Исполнителя: были сорваны рабочие совещания, сотрудники компании были вынуждены заниматься не своими непосредственными обязанностями, а общением с контрагентами Заказчика.

В результате Исполнитель нарушил сроки выполнения обязательств по другим договорам.

Решение: в договоре обязательно нужно предусмотреть следующие пункты:

«1. Исполнитель обязуется использовать персональные данные сотрудников Заказчика только при осуществлении прав и обязанностей, предусмотренных настоящей офертой, в соответствии с выбранным тарифом, а также в соответствии с дополнительными соглашениями между сторонами. Незаконное разглашение персональных данных сотрудников Заказчика влечет за собой обязанность Исполнителя по оплате штрафа в размере 500 000 рублей (пятисот тысяч рублей) в пользу Заказчика.

Под персональными данными в рамках данного пункта понимается: фамилия, имя, отчество; пол, возраст; образование, квалификация и т.п.; контактная информация (адрес, номер телефона и т.п.); семейное положение, наличие детей; факты биографии; финансовое положение; фотография, используемая для установления личности.

2. Заказчик обязуется использовать персональные данные сотрудников Исполнителя только при осуществлении прав и обязанностей, предусмотренных настоящей офертой, в соответствии с выбранным тарифом, а также в соответствии с дополнительными соглашениями. Незаконное разглашение персональных данных сотрудников Исполнителя влечет за собой обязанность Заказчика по оплате штрафа в размере 500 000 рублей (пятисот тысяч рублей) в пользу Исполнителя.

Под персональными данными в рамках данного пункта понимается: фамилия, имя, отчество; пол, возраст; образование, квалификация и т.п.; контактная информация (адрес, номер телефона и т.п.); семейное положение, наличие детей; факты биографии; финансовое положение; фотография, используемая для установления личности».

Кроме того, Исполнитель должен направить жалобу в Роскомнадзор на Заказчика, который незаконно распространил данные. Так как сотрудники компании Исполнителя общались с Заказчиком только в рамках договора, иных контактов не имели, доказать факт незаконного распространения персональных данных будет достаточно просто.

Пример N2. Незаконное распространение персональных данных сотрудником компании

Ситуация: Многие компании, которые занимаются продажей товаров и услуг, покупают персональные данные, такие как Ф. И. О., номера телефонов, адреса электронных почт, чтобы расширить базу потенциальных клиентов. На такой спрос есть и предложение. Так, сотрудник одной организации искал способы дополнительного заработка и продавал третьим лицам персональные данные.

Последствия: Моральный вред могут взыскать с работодателя (определение Четвертого кассационного суда общей юрисдикции от 25.08.2022 N 88-22268/2022).

При этом к административной ответственности могут одновременно привлечь и оператора персональных данных, и виновного работника, за исключением ряда случаев, когда к ответственности привлекается только работник (ч. 3, 4 ст. 2.1 КоАП РФ).

Если же бывший работник продолжит после увольнения обработку персональных данных, к которым получил доступ в период работы, то за данное нарушение к административной ответственности по ч. 1 ст. 13.11 КоАП РФ привлекают именно его (постановление Четвертого кассационного суда общей юрисдикции от 29.11.2022 N П16-4000/2022).

Решение: Компании должны следить за своими информационными базами. Должен быть организован контроль за распространением персональных данных, контроль доступа к ним. Служба информационной безопасности должна следить за действиями сотрудников с карточками клиентов, и в случае, если кто-то из сотрудников копирует всю базу, необходимо провести служебное расследование, потребовать у сотрудника докладную записку — для каких целей копировались данные.

Кроме того, должно быть организовано раздельное хранение информационных баз — ФИО отдельно, паспортные данные, ИНН, юридические адреса отдельно. И только у ограниченного круга сотрудников должен быть доступ к единой базе.

Пример N3. Уголовная ответственность за нарушение закона о персональных данных

Ситуация: в компании работают два сотрудника, которые ведут корпоративную борьбу. Один из них получил доступ к карточке конкурента и нашел ссылку на его социальные сети. Сотрудник начал следить за своим конкурентом и выкладывать комментарии в общих корпоративных чатах относительно внешнего вида, способов отдыха коллеги, его семье. Таким образом, он распространял факты о частной жизни сотрудника, которые не относятся к служебной информации, при этом без его согласия.

Мониторинг социальных сетей может проводить только руководитель и ответственные сотрудники, и только с целью информационной безопасности, или чтобы проверить, не занимается ли сотрудник незаконной деятельностью.

Последствия: Специальной нормы об ответственности за нарушение закона о персональных данных в Уголовном кодексе нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексом.

В частности, уголовная ответственность установлена:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация или копирование информации (ч. 1 ст. 272 УК РФ, п. 3 постановления Пленума Верховного Суда от 15.12.2022 N 37);
  • неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).
Конечно к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).

В нашем случае, сотрудник, который распространял сведения о частной жизни коллеги, может быть привлечен к уголовной ответственности. А компанию могут привлечь к административной, если докажут, что не были предприняты должные меры по защите персональных данных сотрудников.

Читайте также: Новые штрафы за нарушение закона о персональных данных

Решение: Служба отдела кадров должна минимизировать конфликты интересов между сотрудниками. А также проследить за тем, чтобы не происходила утечка персональных данных — доступ к личной карточке сотрудника должен быть только у ограниченного круга лиц.

Пример N4. Утечка персональных данных в компании

Ситуация: Сотрудник консалтингового агентства перепродал клиентскую базу конкурентам.

Последствия: Конкуренты начали рассылать по базе коммерческие предложения. В результате утечки агентство потеряло часть клиентов — как действующих, так и потенциальных.

Кроме того, при утечке высок риск того, что на субъектов персональных данных, то есть на клиентов из базы, будут оформлены кредиты. В таком случае, ответственный за защиту персональных данных оператор может быть привлечен к субсидиарной ответственности, если будет доказано, что он не принял надлежащие меры по защите персональных данных.

Что делать: в законе от 27.07.2006 N 152-ФЗ «О персональных данных» есть термин «инцидент», под которым законодатель понимает любой факт неправомерной или случайной передачи либо распространения, предоставления доступа к персональным данным, повлекший нарушение прав субъекта персональных данных (ч. 3.1 ст. 21 закона N 152-ФЗ).

Если в компании произошла утечка, то оператор персональных данных в течение 24 часов с момента обнаружения инцидента обязан уведомить Роскомнадзор:

  • о самом факте произошедшего инцидента;
  • о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
  • о предполагаемом вреде, нанесенном правам субъекта персональных данных этим инцидентом;
  • о принятых мерах по устранению последствий инцидента;
  • о лице, уполномоченном на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом (п. 1 ч. 3.1 ст. 21 закона N 152-ФЗ). Как правило, это сотрудник, ответственный за обработку персональных данных в организации, иногда — специалист по внутренней безопасности.

На сайте Роскомнадзора есть специальная форма для операторов, чтобы сообщить в электронном виде о произошедших инцидентах.

В течение 72 часов с момента обнаружения инцидента нужно уведомить Роскомнадзор о результатах внутреннего расследования инцидента и указать сведения о лицах, действия которых стали причиной выявленного инцидента, — если это расследование позволило выявить таких лиц (п. 2 ч. 3.1 ст. 21 закона N 152-ФЗ).

Важно! Уведомить о результатах расследования нужно именно через 72 часа с момента обнаружения инцидента, а не после уведомления Роскомнадзора об инциденте. То есть первые 24 часа, когда надо сообщить о факте инцидента, в эти 72 часа входят.

Пример N5. Утечка данных из критических информационных инфраструктур

Ситуация: Один банк продал клиентскую базу данных.

Последствия: У банковских организацией объем информации, относящейся к персональным данным, значительно больше. Это не только Ф. И. О., адреса, номера телефонов, но и сведения о счетах, кредитной истории и т.д. Соответственно, больше рисков и серьезнее последствия утечки для субъектов персональных данных — ущерб может быть выше.

Что делать: Объекты и субъекты критической информационной инфраструктуры определяет закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». К ним относят платёжные организации, организации связи, транспорта, энергетики, атомной энергии и другие компьютерные программы, базы данных, интернет-сети, которые так или иначе ответственны за функционирование критической инфраструктуры.

Компании, которые являются субъектами этой критической информационной инфраструктуры, и обязаны уведомлять ФСБ об инцидентах. Все остальные операторы персональных данных уведомляют Роскомнадзор.

Передавать данных об инцидентах ФСБ необходимо через ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», информационно-правового портала«Гарант.Ру», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, сайта klerk.ru, а также материалы и обзоры из их телеграм-каналов.

Владельцам бизнеса

Напоминаем, что штрафы за нарушение закона о персональных данных возросли. Защитите свой бизнес от штрафов на 1,5 млн от Роскомнадзора.
ООО «Аврора Консалт» возьмёт на себя все заботы о персональных данных и защитит от претензий Роскомнадзора. Если в том есть необходимость, то мы настроим работу с персональными данными с нуля, проведём аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор.

ООО «Аврора Консалт» — команда аттестованных специалистов, которая готова взять на себя: бухгалтерский, налоговый и кадровый учёт, составление отчётности, ведение 1С, расчёт заработной платы, а также юридическую поддержку. Если бухгалтерский и налоговый учёт, уплата и возврат налогов вызывают у вас затруднения, то мы подхватим его на лету.

Заключайте с нами Договор на оказание Бухгалтерских услуг в любом формате:

В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ТСН и ЖСК зарегистрированными и ведущими свою деятельность на территории Санкт-Петербурга и Ленинградской области.

Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.

Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.

Все возникающие вопросы вы можете задать, связавшись с нами любым удобным для вас способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:

или оставить заявку в чате.

Вы можете поделиться этой новостью с друзьями
Мы используем файлы cookie для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием файлов cookie.
Принять
Privacy Policy