Кейс №1. Незаконное распространение персональных данных контрагентом
Ситуация: Две компании заключили договор возмездного оказания услуг. В договоре стороны не предусмотрели обязанность об использовании персональных данных сотрудников компаний только в рамках договорных обязательств.
Заказчик отказался платить, из-за чего Исполнитель в одностороннем порядке расторг договор.
После этого Заказчик незаконно распространил персональные данные сотрудников Исполнителя (фамилии, имена, телефоны, адреса электронной почты), и передал их в ФНС, а также своим контрагентам.
У Заказчика накопилась много долгов, и сотрудникам Исполнителя стали на регулярной основе поступать звонки с требованиями погасить задолженность.
Последствия: Незаконное распространение персональных данных привело к убыткам Исполнителя: были сорваны рабочие совещания, сотрудники компании были вынуждены заниматься не своими непосредственными обязанностями, а общением с контрагентами Заказчика.
В результате Исполнитель нарушил сроки выполнения обязательств по другим договорам.
Решение: В договоре обязательно нужно предусмотреть следующие пункты:
«1. Исполнитель обязуется использовать персональные данные сотрудников Заказчика только при осуществлении прав и обязанностей, предусмотренных настоящей офертой, в соответствии с выбранным тарифом, а также в соответствии с дополнительными соглашениями между сторонами. Незаконное разглашение персональных данных сотрудников Заказчика влечет за собой обязанность Исполнителя по оплате штрафа в размере 500 000 рублей (пятисот тысяч рублей) в пользу Заказчика.
Под персональными данными в рамках данного пункта понимается: фамилия, имя, отчество; пол, возраст; образование, квалификация и т.п.; контактная информация (адрес, номер телефона и т.п.); семейное положение, наличие детей; факты биографии; финансовое положение; фотография, используемая для установления личности.
2. Заказчик обязуется использовать персональные данные сотрудников Исполнителя только при осуществлении прав и обязанностей, предусмотренных настоящей офертой, в соответствии с выбранным тарифом, а также в соответствии с дополнительными соглашениями. Незаконное разглашение персональных данных сотрудников Исполнителя влечет за собой обязанность Заказчика по оплате штрафа в размере 500 000 рублей (пятисот тысяч рублей) в пользу Исполнителя.
Под персональными данными в рамках данного пункта понимается: фамилия, имя, отчество; пол, возраст; образование, квалификация и т.п.; контактная информация (адрес, номер телефона и т.п.); семейное положение, наличие детей; факты биографии; финансовое положение; фотография, используемая для установления личности».
Кроме того, Исполнитель должен направить жалобу в Роскомнадзор на Заказчика, который незаконно распространил данные. Так как сотрудники компании Исполнителя общались с Заказчиком только в рамках договора, иных контактов не имели, доказать факт незаконного распространения персональных данных будет достаточно просто.
Кейс №2. Незаконное распространение персональных данных сотрудником компании
Ситуация: Многие компании, которые занимаются продажей товаров и услуг, покупают персональные данные, такие как Ф. И. О., номера телефонов, адреса электронных почт, чтобы расширить базу потенциальных клиентов. На такой спрос есть и предложение. Так, сотрудник одной организации искал способы дополнительного заработка и продавал третьим лицам персональные данные.
Последствия: Моральный вред могут взыскать с работодателя (определение Четвертого кассационного суда общей юрисдикции от 25.08.2022 № 88-22268/2022).
При этом к административной ответственности могут одновременно привлечь и оператора персональных данных, и виновного работника, за исключением ряда случаев, когда к ответственности привлекается только работник (ч. 3, 4 ст. 2.1 КоАП).
Если же бывший работник продолжит после увольнения обработку персональных данных, к которым получил доступ в период работы, то за данное нарушение к административной ответственности по ч. 1 ст. 13.11 КоАП привлекают именно его (постановление Четвертого кассационного суда общей юрисдикции от 29.11.2022 № П16-4000/2022).
Решение: Компании должны следить за своими информационными базами. Должен быть организован контроль за распространением персональных данных, контроль доступа к ним. Служба информационной безопасности должна следить за действиями сотрудников с карточками клиентов, и в случае, если кто-то из сотрудников копирует всю базу, необходимо провести служебное расследование, потребовать у сотрудника докладную записку — для каких целей копировались данные.
Кроме того, должно быть организовано раздельное хранение информационных баз — ФИО отдельно, паспортные данные, ИНН, юридические адреса отдельно. И только у ограниченного круга сотрудников должен быть доступ к единой базе.
Хотите защитить свой бизнес от штрафов на 1,5 млн от Роскомнадзора?
Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора
Оставьте заявку, мы перезвоним
Кейс №3. Уголовная ответственность за нарушение закона о персональных данных
Ситуация: В компании работают два сотрудника, которые ведут корпоративную борьбу. Один из них получил доступ к карточке конкурента и нашел ссылку на его социальные сети. Сотрудник начал следить за своим конкурентом и выкладывать комментарии в общих корпоративных чатах относительно внешнего вида, способов отдыха коллеги, его семье. Таким образом, он распространял факты о частной жизни сотрудника, которые не относятся к служебной информации, при этом без его согласия.
Мониторинг социальных сетей может проводить только руководитель и ответственные сотрудники, и только с целью информационной безопасности, или чтобы проверить, не занимается ли сотрудник незаконной деятельностью.
Последствия: Специальной нормы об ответственности за нарушение закона о персональных данных в Уголовном кодексе нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексом.
В частности, уголовная ответственность установлена:
за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК);
неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация или копирование информации (ч. 1 ст. 272 УК, п. 3 постановления Пленума Верховного Суда от 15.12.2022 № 37);
неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК).
Важно! К уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП).
В нашем случае, сотрудник, который распространял сведения о частной жизни коллеги, может быть привлечен к уголовной ответственности. А компанию могут привлечь к административной, если докажут, что не были предприняты должные меры по защите персональных данных сотрудников.
Читайте также: Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей
Решение: Служба отдела кадров должна минимизировать конфликты интересов между сотрудниками. А также проследить за тем, чтобы не происходила утечка персональных данных — доступ к личной карточке сотрудника должен быть только у ограниченного круга лиц.
Кейс №4. Утечка персональных данных в компании
Ситуация: Сотрудник консалтингового агентства перепродал клиентскую базу конкурентам.
Последствия: Конкуренты начали рассылать по базе коммерческие предложения. В результате утечки агентство потеряло часть клиентов — как действующих, так и потенциальных.
Кроме того, при утечке высок риск того, что на субъектов персональных данных, то есть на клиентов из базы, будут оформлены кредиты. В таком случае, ответственный за защиту персональных данных оператор может быть привлечен к субсидиарной ответственности, если будет доказано, что он не принял надлежащие меры по защите персональных данных.
Что делать: В законе от 27.07.2006 № 152-ФЗ «О персональных данных» есть термин «инцидент», под которым законодатель понимает любой факт неправомерной или случайной передачи либо распространения, предоставления доступа к персональным данным, повлекший нарушение прав субъекта персональных данных (ч. 3.1 ст. 21 закона № 152-ФЗ).
Если в компании произошла утечка, то оператор персональных данных в течение 24 часов с момента обнаружения инцидента обязан уведомить Роскомнадзор:
о самом факте произошедшего инцидента;
о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
о предполагаемом вреде, нанесенном правам субъекта персональных данных этим инцидентом;
о принятых мерах по устранению последствий инцидента;
о лице, уполномоченном на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом (п. 1 ч. 3.1 ст. 21 закона № 152-ФЗ). Как правило, это сотрудник, ответственный за обработку персональных данных в организации, иногда — специалист по внутренней безопасности.
На сайте Роскомнадзора есть специальная форма для операторов, чтобы сообщить в электронном виде о произошедших инцидентах.
В течение 72 часов с момента обнаружения инцидента нужно уведомить Роскомнадзор о результатах внутреннего расследования инцидента и указать сведения о лицах, действия которых стали причиной выявленного инцидента, — если это расследование позволило выявить таких лиц (п. 2 ч. 3.1 ст. 21 закона № 152-ФЗ).
Важно! Уведомить о результатах расследования нужно именно через 72 часа с момента обнаружения инцидента, а не после уведомления Роскомнадзора об инциденте. То есть первые 24 часа, когда надо сообщить о факте инцидента, в эти 72 часа входят.
Кейс №5. Утечка данных из критических информационных инфраструктур
Ситуация: Один банк продал клиентскую базу данных.
Последствия: У банковских организацией объем информации, относящейся к персональным данным, значительно больше. Это не только Ф. И. О., адреса, номера телефонов, но и сведения о счетах, кредитной истории и т.д. Соответственно, больше рисков и серьезнее последствия утечки для субъектов персональных данных — ущерб может быть выше.
Что делать: Объекты и субъекты критической информационной инфраструктуры определяет закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». К ним относят платежные организации, организации связи, транспорта, энергетики, атомной энергии и другие компьютерные программы, базы данных, интернет-сети, которые так или иначе ответственны за функционирование критической инфраструктуры.
Компании, которые являются субъектами этой критической информационной инфраструктуры, и обязаны уведомлять ФСБ об инцидентах. Все остальные операторы персональных данных уведомляют Роскомнадзор.
Передавать данных об инцидентах ФСБ необходимо через ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Вебинар по работе с персональными данными сотрудников и клиентов
25 января в 15.00 по мск расскажем, как организовать работу с персональными данными в компании, чтобы избежать штрафов. Участие бесплатное
Реклама: ООО «Центр Бухгалтерских Решений», ИНН 5902063551, erid: LjN8K4RME