Безопасность информации, в том числе персональных данных, в организации зависит от множества факторов. Руководители принимают различные меры для построения системы защиты, но зачастую они не работают из-за неправильно расставленных приоритетов. Одним из самых важных элементов защиты является человеческий фактор. Если для сотрудников неправильно построена система наступления ответственности за разглашение защищенной информации, то остальные меры защиты уже не важны. Разглашение охраняемой законом информации, в частности персональных данных, может привести к существенным проблемам для руководителя и компании в целом. И именно понимание работников неотвратимости наступления ответственности за разглашение персональных данных будет являться основополагающим фактором в системе защиты.
В соответствии с требованием ст. 24. Федерального закона «О персональных данных», лица, виновные в нарушении требований данного закона, несут предусмотренную законодательством Российской Федерации ответственность.
Исходя из смысла ст. 90 ТК РФ, работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.
В соответствии со ст. 192 ТК РФ за совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям.
Федеральными законами, уставами и положениями о дисциплине (ч. 5 ст. 189 ТК РФ) для отдельных категорий работников могут быть предусмотрены также и другие дисциплинарные взыскания.
Говоря об ответственности работника надо отграничить два разных случая:
- разглашение имело место в период действия трудового договора;
- разглашение имело место после прекращения (или расторжения) трудового договора.
В соответствии со статьей 81 пункт 6 подпункт "в" ТК РФ трудовой договор может быть расторгнут в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Согласно п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010) "О применении судами Российской Федерации Трудового кодекса Российской Федерации", в случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой статьи 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне, либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения.
В соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен работнику такими действиями. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.
Необходимо помнить, что на основании ст. 193 ТК РФ, дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. Такое взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки - позднее двух лет со дня его совершения. В эти сроки не включается время производства по уголовному делу.
За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
Кроме того, п. 7 статьи 243 ТК РФ регламентированы случаи привлечения работника к полной материальной ответственности за разглашение им сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами.
Для привлечения работника по данному основанию к полной материальной ответственности необходимо наличие следующих условий:
- принадлежность разглашенной информации к сведениям, составляющим государственную, служебную, коммерческую или иную охраняемую законом тайну;
- доступ работника к сведениям, составляющим охраняемую законом тайну. Такой доступ подразумевает оформление письменного документа, в котором указано, какие сведения работник обязуется не разглашать в связи с выполнением своих трудовых обязанностей;
- распространение работником сведений, составляющих охраняемую законом тайну. При привлечении работника к полной материальной ответственности работодатель должен иметь доказательства сообщения работником сведений сторонним лицам;
- прямой действительный ущерб, причиненный работодателю разглашением работником сведений, которые составляют охраняемую законом тайну.
На основании ст. ст. 2, 3, 5, 6 Закона о персональных данных персональные данные относятся к информации, доступ к которой ограничен. Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности по со ст. 13.14 КРФ об АП РФ - за разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей.
Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности по ст. 137 УК РФ - незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, часть 2 указанной статьи - те же деяния, совершенные лицом с использованием своего служебного положения.
Согласно ст. 17 Закона о персональных данных, субъекту персональных данных предоставлено право обжаловать действия или бездействие оператора в уполномоченный орган по защите персональных данных или в суд, если субъект персональных данных считает, что оператор осуществляет обработку персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы. Он имеет право на защиту своих законных прав и интересов, в т.ч. и на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
В соответствии со ст. 1068 ГК РФ юридическое лицо несет ответственность за вред, причиненный его работником при исполнении трудовых обязанностей. То есть, убытки и моральный вред, причиненный субъекту персональных данных, будет возмещать работодатель. В свою очередь работодатель, на основании ст. 1081 ГК РФ вправе в регрессном порядке требовать возмещения причиненных ему убытков со своего работника.
Работодателю нужно соблюсти одно из обязательных условий, без которого работник, разгласивший вверенные ему на законном основании персональные данные, не может быть привлечен к ответственности: принятие работодателем необходимых мер для защиты информации, ограждения свободного доступа к ним.
Так в соответствии с п. 7 ст. 86 ТК РФ защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств. Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним.
Согласно ст. ст. 8 и 22 ТК РФ работодатель вправе принимать в пределах своей компетенции локальные нормативные акты, предусматривающие, в том числе, порядок хранения и обработки информации о персональных данных работника. Локальный акт (документ) организации о персональных данных работника может быть разработан в виде положения или инструкции.
Пунктом 8 ст. 86 ТК РФ установлено, что работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Напомним, что разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, неисполнение которой может повлечь привлечение к административной ответственности по ст. 5.27 КРФ об АП, а именно влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
В соответствии с частью четвертой ст. 57 ТК РФ в трудовом договоре могут предусматриваться условия о неразглашении государственной, служебной, коммерческой и иной охраняемой законом тайны. Поэтому следует включать в трудовые договоры с работниками, ответственным за хранение, обработку и использование персональных данных других работников, условие о неразглашении конфиденциальной информации о персональных данных работников, связанной с выполнением ими своих должностных обязанностей.
Кроме того, с работником можно подписать отдельное Обязательство о неразглашении персональных данных.
Система учета персональных данных также может предусмотреть проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные.
Эти и другие меры помогут существенно снизить угрозу разглашением персональных данных и избежать неблагоприятных последствий. Главное помнить, что любой факт, ведущий к наступление ответственности должен быть "задокументирован". В противном случае, работодатели останется один на один с возникшей проблемой.
В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.
Автор: Пенчукова И.О.,
старший юрисконсульт юридического отдела
ООО «РЭАЦ «Эксперт»