Ответственность за утечку персональных данных
Российское законодательство определяет понятие персональных данных как любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу.
В силу Федерального закона Российской Федерации «О персональных данных» в случае утечки таких сведений оператор (государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных) обязан направить в Роскомнадзор уведомление о факте неправомерной или случайной передачи данных.
Оператор при обработке персональных данных должен принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
За невыполнение таких мер статьями 13.11, 13.12 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность для граждан, должностных и юридических лиц.
Физические лица, умышленно распространившие персональные данные гражданина без его согласия, подлежат уголовной ответственности за нарушение неприкосновенности частной жизни по статье 137 Уголовного кодекса Российской Федерации. Предметом данного преступления является личная и семейная тайна, поэтому ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц (например, гражданин может не скрывать дату, место своего рождения, образование).
В большинстве случаев персональные данные хранятся в информационных системах, в связи с чем, наряду со статьей 137 УК РФ, действия виновного лица, подлежат квалификации по статье 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации. При использовании в целях получения персональных данных вредоносных компьютерных программ подлежит вменению также статья 273 УК РФ.
Работник организации, нарушивший правила эксплуатации средств хранения, обработки или передачи персональных данных, а также правила доступа к информационно - телекоммуникационным сетям, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных и причинило крупный ущерб (сумма, превышающая один миллион рублей), может понести ответственность по статье 274 УК РФ. Нарушение правил эксплуатации выражается, например, в отказе от использования антивирусного программного обеспечения, обработке конфиденциальной информации вне рабочего места. Данное преступление может быть совершенно как умышленно, так и по неосторожности.
Наряду с этим, в соответствии с Трудовым кодексом Российской Федерации виновный работник организации может понести дисциплинарную ответственность. Также Гражданским кодексом Российской Федерации предумотрена ответственность виновных лиц в виде взыскания с них в пользу потерпевшего компенсации причиненного морального вреда.
(материал подготовлен прокурором апелляционного отдела уголовно-судебного управления Пермского края Ликановым С.В.)
фото: открытые источники