Административная ответственность за нарушение законодательства о персональных данных

(Косякин А. В.) («Административное и муниципальное право», 2009, N 3)

АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

А. В. КОСЯКИН

Косякин Андрей Валентинович — соискатель АНО «Международная академия предпринимательства (институт)».

Персональные данные объективно присущи любому человеку, они подчеркивают правовой статус человека и гражданина. Персональные данные содержат необходимый объем информации о человеке, который участвует в соответствующих правоотношениях. Персональные данные принадлежат непосредственно человеку, и он в их несанкционированном распространении, как правило, не заинтересован, в этой связи неслучайно, что персональные данные охраняются различными правовыми средствами. Исходя из этого вполне логично, что доступ к персональным данным имеет весьма ограниченный круг лиц, работодатель, сотрудники кадровых служб и др. В этой связи значение персональных данных трудно переоценить. Персональные данные находятся в правовом поле, в этой связи есть смысл кратко рассмотреть правовую основу, которая регламентирует режим оборота и использования персональных данных, а затем рассмотреть меры административной ответственности, применяемой за нарушение законодательства о персональных данных. В настоящее время правовое регулирование персональных данных привлекает внимание ученых и специалистов-практиков. В частности, О. Б. Просветова отмечает, что «персональные данные — это сведения о фактах, событиях и обстоятельствах жизни конкретного физического лица или его семьи, позволяющие отождествлять его с конкретным индивидом и отражающие особенности последнего по отношению к другим людям» <1>. ——————————— <1> См.: Просветова О. Б. Защита персональных данных: Автореф. дис. … канд. юрид. наук. Воронеж, 2005. С. 11.

Н. Г. Беляева пишет о том, что «представляют собой данные, содержащие информацию о частной жизни живого индивида (субъекта данных), который может быть идентифицирован на основании этой информации (или с помощью этой информации), если, с точки зрения любого нормального человека, наделенного обычной чувствительностью, субъект данных вправе считать такую информацию конфиденциальной, контролировать ее распространение» <2>. ——————————— <2> См.: Беляева Н. Г. Право на неприкосновенность частной жизни и доступ к персональным данным // Правоведение. 2001. N 1. С. 101.

Приведенное определение достаточно широкое и позволяет использовать его применительно к любым правоотношениям, в которых участвует соответствующий гражданин. Согласно Федеральному закону от 27 июля 2006 г. «О персональных данных» <3> персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3). Указ Президента РФ от 6 марта 1997 г. «Об утверждении Перечня сведений конфиденциального характера» <4> определяет, что сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, являются персональными данными. ——————————— <3> См.: Собрание законодательства РФ. 2006. N 31 (1 ч.). Ст. 3451. <4> См.: Собрание законодательства РФ. 1997. N 10. Ст. 1127.

Согласно Указу Президента РФ от 30 мая 2005 г. «Об утверждении Положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела» <5> под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело. ——————————— <5> См.: Собрание законодательства РФ. 2005. N 23. Ст. 2242.

Согласно Трудовому кодексу РФ персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85). Федеральный закон от 2 марта 2007 г. «О муниципальной службе в РФ» <6> определяет, что персональные данные муниципального служащего — это информация, необходимая представителю нанимателя (работодателю) в связи с исполнением муниципальным служащим обязанностей по замещаемой должности муниципальной службы и касающаяся конкретного муниципального служащего. Как отмечает С. Е. Чаннов, «…законодателем был избран различный порядок к правовому регулированию режима персональных данных на государственной гражданской и муниципальной службе» <7>. ——————————— <6> См.: Собрание законодательства РФ. 2007. N 10. Ст. 1152. <7> См.: Чаннов С. Е. Правовой режим персональных данных на государственной и муниципальной службе // Российская юстиция. 2008. N 1. С. 21.

Согласно Федеральному закону от 15 ноября 1997 г. «Об актах гражданского состояния» <8> сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат (ст. 12). ——————————— <8> См.: Собрание законодательства РФ. 2007. N 10. Ст. 5340.

Как видим, наряду с общим Законом о персональных данных существует еще целый ряд законодательных актов, которые регламентируют общественные отношения, связанные с защитой и регулированием персональных данных. Как отмечает Е. Волчинская, «обращение с информацией персонального характера требует особой регламентации» <9>. ——————————— <9> См.: Волчинская Е. Информационная безопасность бизнеса: правовые аспекты // Закон. 2002. N 12. С. 3.

В этой связи правильно, что лица, виновные в нарушении законодательства о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную ответственность. Следует отметить, что персональные данные — это информация о гражданине, его социальном статусе, которую он не хотел бы широко распространять, поскольку данная информация может быть использована в корыстных целях или интересах третьих лиц или групп. Персональные данные позволяют идентифицировать человека. Как отмечает, Э. А. Цадыкова, «…персональные данные — это лишь информация, позволяющая идентифицировать личность» <10>. Кроме идентификации личности, информация о персональных данных позволяет оказывать негативное воздействие на человека, доставляя ему массу проблем. В этой связи персональные данные охраняются различными правовыми средствами, в том числе мерами административной ответственности. ——————————— <10> См.: Цадыкова Э. А. Гарантии охраны и защиты персональных данных человека и гражданина // Конституционное и муниципальное право. 2007. N 14. С. 15.

И. Бачило говорит о том, что персональные данные — это такие сведения о личности, которые включаются в информационную систему государственных, общественных и частных, корпоративных организаций по инициативе индивида или в силу закона в целях реализации его прав и обязанностей в процессе участия в самых разных социальных процессах и отношениях. Это та частная жизнь, которая определенным образом представлена и присутствует в публичном и гражданском секторах правовых отношений индивида с другими субъектами права <11>. ——————————— <11> См.: Бачило И. Л. Персональные данные в сфере бизнеса // Закон. 2002. N 12. С. 26.

Так, за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена административная ответственность (ст. 13.11 КоАП РФ). Персональные данные являются информацией ограниченного характера, поэтому за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, также предусмотрена административная ответственность (ст. 13.14 КоАП). Административные правонарушения в области связи и информатизации весьма разнообразны, они касаются не только информационной сферы, они посягают также и на конституционные права граждан, касающиеся личной, семейной тайны, частной жизни и т. д. Любое административное правонарушение носит противоправный, виновный и наказуемый характер. Не является исключением и административное правонарушение, посягающее на режим использования, хранения и оборота персональных данных. Объектом посягательства деяния, предусмотренного ст. 13.11, являются общественные отношения, связанные с порядком сбора, хранения, использования или распространения информации о гражданах. Сбор персональных данных осуществляется в формах, предусмотренных законом. Так, при заключении трудового договора работодатель получает от работника необходимую ему информацию, документы, сведения и т. п., которые приобщает к личному делу, работодателю запрещено требовать документы, которые не предусмотрены законом. Как отмечают Е. Л. Никитин и А. А. Тимошенко, перечень общих требований, которые обязан соблюдать работодатель при обработке персональных данных, следует дополнить указанием на запрет получения работодателем от лица, поступающего на работу, и работника следующих сведений: — информации, составляющей государственную тайну, или иной охраняемой законом конфиденциальной информации, которая стала известна работнику до возникновения трудовых правоотношений с работодателем; — сведений о прошлой политической или общественной деятельности работника или лица, устраивающегося на работу; — сведений об имевших место в прошлом случаях привлечения к уголовной ответственности (за исключением ограничений, установленных для лиц, устраивающихся в органы правоохранительной системы РФ и правосудия, на работу, связанную с воспитанием, обучением детей, иную социально значимую работу, а также связанных с назначением наказания в виде лишения права занимать определенные должности или заниматься определенной деятельностью); — данных об имущественном положении (исключение для лиц, претендующих на занятие выборных должностей); — сведений о национальности самого работника, его близких родственников, родственников, близких лиц, иных лиц; — иных подобных данных <12>. ——————————— <12> См.: Никитин Е. Л., Тимошенко А. А. К вопросу о правовой природе персональных данных работника // Журнал российского права. 2006. N 7. С. 42.

Получив необходимую информацию, работодатель, а также соответствующие должностные лица несут и ряд обязанностей, связанных с хранением и использованием персональных данных работника. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования: — обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; — при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, а также законами РФ; — все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; — работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия; — работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законом; — при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения; — защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном законом; — работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области; — работники не должны отказываться от своих прав на сохранение и защиту тайны; — работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников (ст. 86 ТК РФ). При передаче персональных данных работника работодатель должен соблюдать следующие требования: — не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами; — не сообщать персональные данные работника в коммерческих целях без его письменного согласия; — предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законом; — осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись; — разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций; — не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции; — передавать персональные данные работника представителям работников в порядке, установленном законом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций (ст. 88 ТК РФ). За разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника, работодатель может расторгнуть трудовой договор с работником по собственной инициативе (ст. 81 ТК РФ). Как отмечают Е. Л. Никитин и А. А. Тимошенко, «…персональные данные работника органически включены в систему персональных данных лица, составляют отдельное правовое образование — институт трудового права, носят информационный характер, подлежат комплексной правовой защите всеми способами и средствами, установленными для защиты государственной тайны и конфиденциальной информации» <13>. ——————————— <13> См.: Никитин Е. Л., Тимошенко А. А. К вопросу о правовой природе персональных данных работника // Журнал российского права. 2006. N 7. С. 42.

В этой связи неслучайно, что разглашение персональных данных работника — это грубое нарушение трудовой дисциплины, а также закона. Помимо увольнения виновного работника, он может быть привлечен к административной ответственности. Следует сказать, что правонарушение, предусмотренное ст. 13.11 КоАП РФ, посягает на конституционное право, в этой связи вопрос об административной ответственности может быть поставлен, если деяние не содержит в себе признаков преступления, ответственность за которое определена в УК РФ. Преступлениями, влекущими за собой уголовную ответственность, являются: — незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ); — неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ); — неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ). Объективная сторона административного правонарушения, посягающего на порядок оборота персональных данных, — это его внешнее выражение. Следует сказать, что рассматриваемое правонарушение может быть совершено как в форме действия, так и в форме бездействия. Субъектами правонарушения, связанного с нарушением установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), являются физические, должностные и юридические лица. Данное правонарушение может совершаться как умышленно, так и по неосторожности. При этом умысел может быть как прямой, так и косвенный, неосторожность может быть как небрежностью так самонадеянностью. Необходимо сказать, что состав правонарушения, который предусмотрен в ст. 13.11 КоАП, носит универсальный характер, мерами административной ответственности охраняются различные правоотношения, в которых используются персональные данные. Необходимо сказать, что данный подход не совсем оправдан, поскольку персональные данные весьма разнообразны, они могут носить как общий, так и специальный характер. Поэтому и меры административной ответственности должны носить весьма дифференцированный характер. В этой связи можно поддержать позицию Н. И. Петрыкиной, которая отметила, что в КоАП РФ необходимо предусмотреть ответственность за незаконный сбор, хранение, использование и разглашение информации, относящийся к специальным категориям персональных данных; за несоблюдение установленных законодательством правил сбора и обработки персональных данных; за осуществление деятельности по сбору и обработке персональных данных оператором без уведомления уполномоченного органа по защите персональных данных, если по федеральному законодательству такое уведомление обязательно, за нарушение прав субъектов персональных данных, при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации <14>. ——————————— <14> См.: Петрыкина Н. И. Правовое регулирование оборота персональных данных в России и странах ЕС (сравнительно-правовое исследование): Автореф. дис. … канд. юрид. наук. М., 2007. С. 20.

Библиографический список:

1. Агапов А. Б. Основы государственного управления в сфере информатизации в РФ. М., 1997. Беляева Н. Г. Право на неприкосновенность частной жизни и доступ к персональным данным // Правоведение. 2001. N 1. 2. Бачило И. Л. Персональные данные в сфере бизнеса // Закон. 2002. N 12. 3. Волчинская Е. Информационная безопасность бизнеса: правовые аспекты // Закон. 2002. N 12. 4. Городов О. А. Информационное право. М., 2009. 5. Калятин В. О. Персональные данные в Интернете // Журнал российского права. 2002. N 5. 6. Лопатин В. Н. Правовая охрана и защита коммерческой тайны // Законодательство. 1998. N 11. 7. Никитин Е. Л., Тимошенко А. А. К вопросу о правовой природе персональных данных работника // Журнал российского права. 2006. N 7. 8. Просветова О. Б. Защита персональных данных: Автореф. дис. … канд. юрид. наук. Воронеж, 2005. 9. Петрыкина Н. И. Правовое регулирование оборота персональных данных в России и странах ЕС (сравнительно-правовое исследование): Автореф. дис. … канд. юрид. наук. М., 2007. 10. Чаннов С. Е. Правовой режим персональных данных на государственной и муниципальной службе // Российская юстиция. 2008. N 1. 11. Цадыкова Э. А. Гарантии охраны и защиты персональных данных человека и гражданина // Конституционное и муниципальное право. 2007. N 14.

——————————————————————