Ответственность за утечку персональных данных

Ответственность за утечку персональных данных строго карается российским законодательством. К виновным лицам применяются наказания в рамках трудового, административного, уголовного кодексов.

Виды ответственности за нарушение закона о ПДн

1. Дисциплинарная. Выносится руководителем компании, где произошел инцидент. Связана со случайными и незначительными информационными утечками без угрозы репутации компании и ее клиентам. Выражается в форме замечания, выговора, в редких случаях увольнения.

2. Гражданско–правовая. Наступает в тех случаях, когда отмечены ущерб и заметные последствия инцидента. На виновника налагается штраф и возмещение убытков, связанных с его действиями.

3. Административная. Наступает при рассмотрении дела в суде. По результатам судебного разбирательства выносится предупреждение или денежный штраф.

4. Уголовная. Наступает в следствии тяжких преступлений, как например, раскрытие государственной тайны, продажи личной или семейной тайны. Наказание выносится судом в форме крупных денежных штрафов, либо принудительных или обязательных работ, либо лишения свободы.

Дисциплинарная ответственность за утечку персональных данных

• Статьи 90, 192 ТК РФ. Наказание в форме выговора, замечания работнику за нарушение при работе с персональными сведениями. Например, за передачу вверенных данных третьим лицам

• Статья 81 ТК РФ. Увольнение работника за придание публичного статуса личной информации другого сотрудника или клиента. Например, получение информации менеджером банка о платёжеспособности клиента без официального запроса из банка

Гражданско-правовая ответственность за утечку персональных данных

• Статья 15 ГК РФ. Наказание в виде соразмерного возмещения убытков или меньшего объема при условии его установления законом или договором за использование персональных сведений в корыстных целях. Например, нарушение оператором правил обработки данных в ходе чего владелец понес финансовый ущерб (упущенная выгода, уничтоженное имущество).

• Статья 24 152-ФЗ от 27.07. 2006. Наказание в виде компенсации морального ущерба за нарушение оператором правил обработки данных в ходе чего владелец понес моральный ущерб. Например, спам-звонки и смс от банка с предложениями оформления кредита или его погашения в ситуациях, когда владелец персональной информации не является его клиентом или исполнил свои обязательства.

Административная ответственность за утечку персональных данных

• Статья 13.11 КоАП РФ (часть 1). Наказание в виде предупреждения или штрафа за обработку персональной информации в случаях, которые не предусматриваются законом. Например, использование номеров телефона клиентов компании для рассылки рекламных предложений без письменного согласия клиента

• Статья 13.11 КоАП РФ (часть 2). Наказание в виде штрафов в размере 3 000-75 000 рублей за проведение обработки персональных сведений человека без его письменного согласия. Например, создание собственной базы данных клиентов частной компании на основании врачебных карт пациента исключая его согласие

• Статья 13.11 КоАП РФ (часть 4). Штраф оператора информации на сумму 1 000-40 000 рублей за непредставление сведений владельцу касающихся порядка и целей обработки, предоставленных им сведений личного характера

• Статья 13.11 КоАП РФ (часть 6). Штраф оператора данных на сумму 700-50 000 рублей за утечку информации и попадание ее к третьим лицам.

• Статья 19.7 КоАП РФ. Наказание в виде предупреждения или штрафа оператору информации за отказ или неполное, или искажённое предоставление требуемых госорганом или чиновником сведений. Например, человек отправил жалобу в антимонопольную службу на регулярные рекламные рассылки и звонки на его номер со стороны компании с которой он не вступал в отношения. ФАС обратилась к оператору связи, чтобы выяснить, кому принадлежит номер, с которого, приходят рассылки, оператор отказался сообщить информацию о владельце номера и получил за это штраф.

Уголовная ответственность за утечку персональных данных

• Статья 137 УК РФ. Штраф до 200 000 рублей или удержание дохода гражданина за 18 месяцев, либо исправительные или принудительные работы периодом 1-3 года, либо тюремное заключение на 2 года за занятие сбором и распространением персональных сведений, затрагивающих личную или семенную тайны исключая разрешение владельца.

• Статья 272 УК РФ. Штраф до 200 000 рублей или удержание дохода гражданина за 18 месяцев, либо исправительные или принудительные работы периодом 1-2 года, либо тюремное заключение на 2 года за незаконное получение доступа к сведениям находящихся под защитой законодательства с последующим их уничтожением, блокировкой, модификацией.

• Статья 140 УК РФ. Штраф до 200 000 рублей и лишение права на ведение профессиональной деятельности чиновнику, который ответил отказом на предоставление информации обратившемуся к нему гражданина, связанную с его правами, свободами. Например, отказ чиновника в предоставлении информации путем игнорирования запросов или ссылкой на отсутствие сведений при их наличии.

Защита персональных данных и ответственность за нарушение порядка обработки и хранения информации вынуждают операторов строго придерживаться установленных нормативных актов в этой сфере. Также большое значение для исполнения требований регуляторов имеет использование комплексной защиты информации и применение таких решений как DLP-системы. Утечки данных следует предотвращать, а не бороться с их последствиями.