Разглашение врачебной тайны: последствия нарушения

Разглашение врачебной тайны: понятие и основные признаки

Перейдем непосредственно к теме статьи и перечислим нормативно-правовые акты (законы), которые регулируют сохранение медицинской тайны и устанавливают ответственность за разглашение врачебной тайны. Среди них:

  • Конституция РФ (статья 23) о праве граждан РФ на сохранение медицинской тайны, точно так же как сохранение личных и семейных тайн;
  • Федерального закона от 21.11.2011 года №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
  • ст.137 ч.2 Уголовного кодекса РФ;
  • ст. 13.14 Кодекс об административных правонарушениях.

В указанных законах дается строгое указание о допустимых мерах наказания в отношения врачей, уличенных в разглашение медицинских сведений. Если с вами произошла подобная ситуация, ни в коем случае не пытайтесь решить дело самостоятельно при помощи скандалов и споров. Лучше сразу обратитесь за бесплатной консультацией к нашим юристам и следуйте плану действий, который они вам составят. Так вы сможете привлечь врача к ответственности и заставить его возместить понесенные расходы из-за его деятельности по закону.

Сегодня наш разговор пойдет только про разглашение врачебной тайны и о том, как привлечь врача к ответственности за распространение медицинской информации о своих пациентах.

КС РФ: разглашение врачом врачебной тайны в интересах пациента и против его воли – не всегда нарушение

Krakenimages.com / Depositphotos.com

Если врач обратился в государственный орган, чтобы защитить права других лиц, и при этом в своем обращении раскрыл врачебную тайну, то такое нарушение тайны само по себе не является существенным, потому что, во-первых, обращение в госорган не может (само по себе) рассматриваться как распространение информации, а во-вторых, госорган не может использовать и разглашать полученные им конфиденциальные сведения, кроме как для проверки изложенных в обращении фактов (Определение Конституционного Суда РФ от 26 марта 2020 г. № 540-О “Об отказе в принятии к рассмотрению жалобы гражданки Федосеевой Риммы Леонидовны на нарушение ее конституционных прав частью 1 статьи 13 Федерального закона “Об основах охраны здоровья граждан в Российской Федерации”).

Правовая позиция сформулирована Конституционным Судом РФ в “отказном” определении по жалобе на конституционность ч. 1 ст. 13 Закона от 21 ноября 2011 г. № 323-ФЗ “Об основах охраны здоровья граждан в Российской Федерации” (Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну).

Заявительница во всех смыслах “пострадала за правду”: ранее она работала в должности врача (одновременно являясь местным депутатом) и заподозрила злоупотребления со стороны руководства своего медучреждения (одни и те же манипуляции оплачивали и пациенты, и ТФОМС). Врач дважды просила прокуратуру разобраться в этих фактах, при этом во второй раз, для убедительности, привела ряд конкретных фактов о медпомощи, оказанной конкретным пациентам.

Прокурорская проверка действительно была инициирована, однако главврач собрал с упомянутых пациентов расписки в том, что они к заявительнице за помощью не обращались, вмешиваться ее не просили и вообще не согласны с разглашением прокурору их медицинских данных.

После этого главврач потребовал возбудить против подчиненной уголовное дело по ч. 2 ст. 137 Уголовного кодекса (нарушение неприкосновенности частной жизни, с использованием служебного положения), но получил отказ, причем в постановлении об отказе утверждалось, что пациенты были согласны на передачу прокурору указанных “тайных” сведений.

Однако к тому моменту врач уже была уволена “

в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;

1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

КС РФ не нашел основания для принятия жалобы к рассмотрению, однако – на 10 страницах – обозначил свою правовую позицию по данному вопросу:

Все важные документы и новости о коронавирусе COVID-19 – в ежедневной рассылке Подписаться

  • разглашение врачебной тайны, допущенное в обращении в орган власти, если это обращение имеет целью получения содействия по реализации прав и свобод граждан, не является существенным нарушением лишь только из-за возможного риска причинения вреда правам пациентов, чьи “тайные” сведения раскрыты в обращении,
  • потому что, во-первых, орган власти, получивший такое обращение, не вправе сам распорядиться полученной врачебной тайной во вред пациентам. Он может лишь проверить указанные в обращении факты, разглашать их и использовать иным образом орган власти не вправе;
  • и также потому, во-вторых, что само по себе обращение в орган власти с целью получения содействия по реализации прав граждан не может рассматриваться как распространение (разглашение) информации, даже с учетом потенциально возможного риска причинения вреда правам и свободам лиц, с которыми связана содержащаяся в обращении информация (эту правовую позицию КС РФ формулировал ранее, в определении от 5 декабря 2019 г. № 3272-О);
  • при этом мера ответственности врача за разглашение врачебной тайны должна определяться индивидуально, с учетом всех имеющих значение обстоятельств, включая:
    1. сами обстоятельства разглашения,
    2. цели разглашения,
    3. наличие возможности обойтись без такого разглашения,
    4. отношение пациента к факту разглашения (требует ли он защиты своих прав, нарушенных таким разглашением),
    5. последствия, которые в связи с таким разглашением наступили для гражданина и для медорганизации (например, была ли на нее возложена обязанность возместить пациенту вред, причиненный разглашением врачебной тайны ее работником);
  • но КС РФ сам не правомочен оценить обоснованность принятых в отношении врача судебных актов (о законности увольнения).

Заявительница во всех смыслах “пострадала за правду”: ранее она работала в должности врача (одновременно являясь местным депутатом) и заподозрила злоупотребления со стороны руководства своего медучреждения (одни и те же манипуляции оплачивали и пациенты, и ТФОМС). Врач дважды просила прокуратуру разобраться в этих фактах, при этом во второй раз, для убедительности, привела ряд конкретных фактов о медпомощи, оказанной конкретным пациентам.

Кто несет ответственность за разглашение врачебной тайны — можно ли с организации взыскать вред пациенту?

Сохранение врачебной (медицинской) тайны является главным правилом любого медицинского работника.

Нарушение прав клиента медицинской организации означает нарушение законов РФ.

Рассмотрим вначале более мягкие наказания, которые могут ожидать сотрудника медицинского учреждения.

Какие сведения составляют медицинскую тайну

Люди в белых халатах должны держать в секрете результаты обследований и анализов пациентов, а также поставленные им диагнозы. Не подлежит огласке и сам факт посещения гражданином медучреждения и обращения за консультацией к специалисту. Если врачу стали известны подробности личной жизни пациента, его материального положения или другие данные немедицинского характера, он обязан сохранить в тайне и это. Закон действует и в отношении умерших пациентов: в листок нетрудоспособности вносятся только общие данные о заболевании без указания диагноза.

  • утаивание способно привести к развитию эпидемий или массовых отравлений;
  • пациент получил производственную травму, и дело требует расследования;
  • человек, нуждающийся в обследовании и лечении, не способен принимать решения и выражать свои желания;
  • родители больного наркоманией подростка находятся в неведении относительно его состояния;
  • пациент поступил с повреждениями, полученными вследствие насильственных действий.

Куда обращаться в случае обнаружения факта разглашения

Если пациент обнаружил, что было нарушено его законное право на сохранность информации медработниками, пациент может подать заявление главному врачу медицинского учреждения для принятия им мер дисциплинарного характера. Также потерпевший может обратиться в суд, что крайне важно сделать в случаях, если возникла необходимость возмещения материального ущерба. Каждый гражданин имеет право написать заявление представителям органов внутренних дел, а последние обязаны принять заявление и, в случае наличия достаточных оснований, начать уголовное делопроизводство по 137-й статье уголовного кодекса.

Заполнить заявление может, как сам пациент, так и законные представители, если речь касается детей, не достигших 15-летия, граждан, не способных действовать самостоятельно, людей с ограниченными способностями. Согласно положениям 13-й статьи ФЗ-№323, без согласия пациента информация медицинского характера может быть разглашена в случаях:

Врачебная тайна: условия разглашения и ответственность за нарушения

Врачебная тайна — многогранное этическое и юридическое понятие. Понятие врачебной тайны и условия ее разглашения закреплены в Основах законодательства Российской Федерации об охране здоровья граждан (далее — Основы).

Статья 61 Основ гласит, что врачебную тайну составляет информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении.

Основы предусматривают, что разглашение врачебной тайны может происходить как с согласия пациента, так и без такового. С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в т.ч. должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях. В этом случае следует помнить о следующем:

1. Факт согласия пациента или его законного представителя следует оформить письменно во избежание недопонимания и для обеспечения правовой безопасности медицинской организации, заверив это подписью пациента.

2. Необходимо четко помнить о том, кто может являться законным представителем. Законные представители появляются только у недееспособных или не обладающих полной дееспособностью граждан. Ими могут быть родители, усыновители, опекуны, попечители или иные лица, которым это право предоставлено законом. Перед тем, как выполнять волю законного представителя пациента, следует убедиться в полномочиях данного человека.

Разглашение врачебной тайны без согласия пациента или его законного представителя допускается в следующих случаях:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему в возрасте до 15 лет (для больных наркоманией — до 16 лет) и для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе.

Конфиденциальность сведений, составляющих врачебную тайну, закреплена и в Семейном кодексе Российской Федерации: «результаты обследования лица, вступающего в брак, составляют медицинскую тайну и могут быть сообщены лицу, с которым оно намерено заключить брак, только с согласия лица, прошедшего обследование» (п. 2 ст. 15).

Правовые нормы о сохранении врачебной тайны детализированы в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — закон).

Закон гласит, что его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Закон выделяет специальные категории персональных данных, к которым относит, в числе прочего, сведения о состоянии здоровья гражданина.

Обработка специальных категорий персональных данных допускается только в случаях, определенных законом, в их числе названы следующие:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

Согласно ст. 9 закона обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора, т.е. на того, кто осуществляет обработку персональных данных.

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

В соответствии со ст. 19 закона оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Необходимо определиться с кругом лиц, которые обязаны хранить врачебную тайну.

Во-первых, носителем, а соответственно, и хранителем врачебной тайны является любой врач по определению, ибо согласно ст. 60 Основ лица, окончившие высшие медицинские образовательные учреждения Российской Федерации, при получении диплома врача дают клятву врача. При этом врачи клянутся «хранить врачебную тайну».

Однако закон не ограничивает перечень хранителей врачебной тайны только врачами, возлагая обязанность по хранению сведений, составляющих врачебную тайну, также на лиц, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей (ст. 61 Основ). Таким образом, потенциальным хранителем тайны пациента является любое лицо, которое в той или иной мере получило сведения о пациенте.

Читайте также:  Квитанция на оплату штрафа ГИБДД: где можно взять?

Следует помнить также, что помимо работников медицинского учреждения, в которое обратился пациент, хранителями врачебной тайны могут стать также и иные лица, допущенные к сведениям, содержащим врачебную тайну в силу своих служебных обязанностей. Это могут быть работники государственных органов (органов здравоохранения, правоохранительных органов), страховых медицинских организаций. Они также, как и медицинские работники, с учетом причиненного гражданину ущерба несут ответственность за разглашение врачебной тайны, установленную законом.

Закон устанавливает уголовную, административную, дисциплинарную и гражданско-правовую ответственность за разглашение врачебной тайны.

Начнем с рассмотрения уголовной ответственности.

До 1 января 1997 г. на территории России действовал Уголовный кодекс РСФСР, в который в декабре 1994 г. была введена статья 128.1., предусматривающая уголовную ответственность за разглашение сведений, составляющих врачебную тайну. Она предусматривала уголовную ответственность вплоть до лишения свободы сроком до 2 лет.

Однако, принимая новый Уголовный кодекс, законодатель объединил данное преступление с иными противоправными действиями, в результате чего предусмотрел уголовную ответственность за разглашение врачебной тайны в статье 137 «Нарушение неприкосновенности частной жизни». Так, согласно части 1 указанной статьи противоправными действиями являются «незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации». В нашем случае чаще всего будет применяться часть 2, которая предусматривает уголовную ответственность за «те же деяния, совершенные лицом с использованием своего служебного положения» и предусматривает следующие санкции: штраф в размере от 100 тыс. до 300 тыс. руб., или в размере заработной платы, или иного дохода осужденного за период от 1 года до 2 лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо арест на срок от 4 до 6 месяцев, либо лишение свободы на срок от 1 года до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Таким образом, предусматривая наказание в виде лишения права занимать определенные должности или заниматься определенной деятельностью, законодатель говорит о профессиональной непригодности работника, разгласившего личную информацию, а в нашем случае — врачебную тайну пациента.

Более мягкой формой ответственности является административная ответственность, которая предусмотрена статьей 13.14. Кодекса РФ об административных нарушениях «Разглашение информации с ограниченным доступом».

Законодатель и здесь приравнивает ответственность за разглашение врачебной тайны к разглашению закрытой информации вообще. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 500 до 1 тыс. рублей, на должностных лиц — от 4 тыс. до 5 тыс. рублей.

Существует также дисциплинарная ответственность медицинских работников за допущенные ими нарушения, в т.ч. и в части разглашения врачебной тайны.

Она предусмотрена Трудовым кодексом РФ (ст. 192) и предусматривает 3 вида взыскания, налагаемых на работников за совершение дисциплинарного проступка, т.е. неисполнение или ненадлежащее исполнение по вине работника возложенных на него трудовых обязанностей: замечание, выговор и увольнение по соответствующим основаниям.

Однако привлечение к любому из вышеописанных видов ответственности не освобождает виновного от обязанности возместить пострадавшему причиненный вред.

Речь идет о гражданско-правовой ответственности.

В гражданском законодательстве понятие врачебной тайны включается в понятие личной тайны.

Согласно ст. 150 Гражданского кодекса РФ жизнь и здоровье, достоинство личности, неприкосновенность частной жизни, личная и семейная тайна, иные личные неимущественные права и другие нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом.

Согласно ст. 151 Гражданского кодекса РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.

В данном случае следует помнить, что согласно ст. 1068 Гражданского кодекса РФ юридическое лицо возмещает вред, причиненный его работником при исполнении трудовых (служебных, должностных) обязанностей, т.е. денежную компенсацию пациенту будет выплачивать не лично причинитель вреда, а организация, в которой он работает.

Таким образом, ответственность за нарушение врачебной тайны несет как непосредственно лицо, допустившее подобное нарушение (дисциплинарная, административная или уголовная ответственность), так и само медицинское учреждение (гражданско-правовая ответственность).

Учитывая вышеизложенное, необходимо подчеркнуть, что руководители медицинских учреждений должны помнить о необходимости сохранения врачебной тайны и об основаниях, дающих законное право на ее разглашение, а также доводить эту информацию до сведения всех подчиненных им сотрудников, от врачей-специалистов до регистраторов, т.к. сохранение врачебной тайны является правовой обязанностью и моральным долгом каждого работника медицинского учреждения.

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

Возможно ли разглашение врачебной тайны без согласия пациента?

В большинстве случаев разглашение врачебной тайны без согласия пациента является незаконным, однако существуют исключения из правил.

К ним относится создание следующих ситуаций:

  • Невозможность пациента или его официальных представителей отвечать за свои действия самостоятельно;
  • Необходимость экстренного прохождения лечения, вплоть до применения принудительного порядка;
  • В случае возникновения ситуации, угрожающей жизни других людей;
  • Оказание медпомощи несовершеннолетним лицам, до достижения возраста 15 лет. Разглашение происходит с целью уведомления родителей или законных представителей;
  • При необходимости предоставления данных следственному комитету или прокуратуре. В данном случае органы должны подать официальный запрос на предоставление данных;
  • В случае установления факта противоправных действий по отношению к больному;
  • Нанесение насильственных травм, подразумевающих автоматическую передачу данных о больном в полицию;
  • Необходимости проведение расследования о нанесении травмы на производстве или в процессе учебы

Из вышесказанного можно сделать вывод, что при обращении к травматологу или хирургу со сложными ранами, имеющими насильственный характер (последствия драки, нападения и пр.), врач обязан сообщить о данном факте в полицию для дальнейшего проведения расследования.

Необходимость разглашения врачебной тайны может понадобиться в случае проведения медицинских исследований, написания книг и диссертаций. Подобные ситуации требуют получения письменного согласия пациента или его официального представителя. Под официальными представителями подразумеваются родители или опекуны (усыновители) несовершеннолетнего, не достигшего 15 лет, а также лица, действия которых уполномочены нотариальной доверенностью.

Кто должен соблюдать тайну?

Данная обязанность возлагается на следующих сотрудников:

  • санитары;
  • врачи;
  • фармацевты;
  • средний медицинский персонал;
  • лица, работающие в регистратуре, в кассе медучреждения;
  • практиканты;
  • другие лица, которые получили секретную информацию при выполнении ими своих должностных обязанностей.

Например, сотрудники полиции проводят расследование совершенного преступления против пациента. Они вправе запросить любую информацию о степени тяжести его здоровья, назначенном лечении, а также причинах возникновения определенных заболеваний или травм. Врачи обязаны предоставить всю запрашиваемую информацию. Но сотрудники полиции не вправе разглашать эти сведения, выходя из рамок выполнение своих должностных обязательств.

  • санитары;
  • врачи;
  • фармацевты;
  • средний медицинский персонал;
  • лица, работающие в регистратуре, в кассе медучреждения;
  • практиканты;
  • другие лица, которые получили секретную информацию при выполнении ими своих должностных обязанностей.

Как доказать факт раскрытия врачебной тайны

Если вы пострадали, виновных можно привлечь к ответственности. Но перед этим надо собрать доказательства нарушения ваших прав. Набор здесь стандартный: видеозаписи, аудиозаписи, свидетельские показания.

Приложите и данные, которые подтверждают ущерб, полученный от разглашения тайны. Например, запись разговора с начальником, который настаивает, чтобы вы написали заявление на увольнение по собственному желанию. Особенно если в ней он указывает причину: ему позвонили из больницы и сообщили о вашем диагнозе.

Случаи, когда персонал медучреждения привлекают к ответственности за раскрытие секретных данных, не очень громкие, но они есть. Например, в Перми врача уволили Основанием для увольнения врача стало разглашение охраняемой законом тайны за то, что она передала сведения о пациентах третьим лицам. А в Сыктывкаре медсестра стала В Сыктывкаре медицинская сестра предстанет перед судом за разглашение врачебной тайны фигуранткой уголовного дела за разглашение диагноза.

Разглашение врачебной тайный как вид преступления: понятия и особенности

Каждый человек, независимо от рода своей деятельность, образа жизни и финансового благосостояния, вынужден обращаться в медицинские учреждения с той или иной личной проблемой. Опять же для каждого крайне важно знать и понимать, что причина обращения (диагноз, симптомы и т. п.) не будут разглашены и останутся тайной между учреждением и самим пациентом. Врачебная тайна, следование которой обязательно для всех работников медицинской сферы, озвучивших соответствующую клятву Гиппократа, без определённых на то обстоятельств и оснований не подлежит разглашению вне зависимости от выбора способа придания огласки. Порой обратившийся к врачу пациент даже в меньшей степени нуждается в медицинском вмешательстве, чем в психологической поддержке и проявлении человечности, положительный результат от которых может быть достигнут только при условии взаимного доверия.

Когда допустимо разглашение врачебной тайны.

Но, к большому сожалению, медицинская сфера вместе с законодательством далеко не идеальны, и в судебной практике нередки случаи, когда нерадивые сотрудники больниц или поликлиник просто наплевательски относясь к неприкосновенности личной жизни, недопустимым образом разглашают информацию, которая не должна была стать достояние общественности. Последствия данных необдуманных и во многом халатных и преступных действий могут носить различный характер степени тяжести, от порчи репутации до доведения до самоубийства. В настоящей статье речь как раз и пойдёт о том, какая предусмотрена ответственность в уголовном и административном законодательствах за разглашение врачебной тайный, а также о том, какие существуют особенности квалификации.


Каждый человек, независимо от рода своей деятельность, образа жизни и финансового благосостояния, вынужден обращаться в медицинские учреждения с той или иной личной проблемой. Опять же для каждого крайне важно знать и понимать, что причина обращения (диагноз, симптомы и т. п.) не будут разглашены и останутся тайной между учреждением и самим пациентом. Врачебная тайна, следование которой обязательно для всех работников медицинской сферы, озвучивших соответствующую клятву Гиппократа, без определённых на то обстоятельств и оснований не подлежит разглашению вне зависимости от выбора способа придания огласки. Порой обратившийся к врачу пациент даже в меньшей степени нуждается в медицинском вмешательстве, чем в психологической поддержке и проявлении человечности, положительный результат от которых может быть достигнут только при условии взаимного доверия.

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Читайте также:  Можно ли вернуть электротовары?

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

Какую закон регламентирует ответственность за распространение персональных данных

Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

  • административная;
  • уголовная.

Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.


Конкретного термина «распространение» в кодексе об административных правонарушениях нет, однако есть термины и понятия, косвенно затрагивающие незаконное распространение.

Штрафы в области персональных данных в 2020 году

2 декабря 2019 года вступили в силу новые штрафы за нарушения законодательства РФ в области персональных данных суммой до 18 миллионов рублей.

Административная ответственность по статье 13.11 в текущей редакции предусматривает дифференциацию в зависимости от последствий нарушения. Так ответственность для юридического лица предусматривает наложение штрафа в размере от 15 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.

Максимальный совокупный штраф для должностного лица составляет 268 тысяч рублей, а при повторном нарушении может превышать 800 тысяч.

КоАП РФ не возлагает на организации, осуществляющие обработку персональных данных, дополнительных обязанностей и не изменяет содержание существующих требований, которые предусмотрены законодательством в области персональных данных (152-ФЗ).

Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями по возбуждению дел об административных правонарушениях.

Представляем вашему вниманию сводную таблицу штрафов за нарушения законодательства в области персональных данных (в редакции от 02.12.2019):

СтатьяСодержание статьи КоАПСумма штрафа
ГражданинДолжн. лицоИПЮр. лицо
13.11 ч.1Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяниярубрубруб
13.11 ч.2Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данныхрубрубруб
13.11 ч.3Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данныхрубрубрубруб
13.11 ч.4Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данныхрубрубрубруб
13.11 ч.5Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработкирубрубрубруб
13.11 ч.6Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяниярубрубрубруб
13.11 ч.7Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данныхруб
13.11 ч.8Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФрубрубруб
13.11 ч.9Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьирубрубруб

Данная статья актуализирована с учетом изменений статьи 13.11 Кодекса №195-ФЗ от 2 декабря 2019 года.

Административная ответственность по статье 13.11 в текущей редакции предусматривает дифференциацию в зависимости от последствий нарушения. Так ответственность для юридического лица предусматривает наложение штрафа в размере от 15 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.

Нарушается ли закон о защите персональных данных, если компания обзванивает людей по генерируемым номерам?

Организация занимается телемаркетингом. В колл-центре установлена система, которая сама генерирует телефонные номера (мобильные), меняя последнюю цифру номера, затем соединяет по ним сотрудника. При успешном соединении сотрудник предлагает товары или услуги физ.лицу с которым его соединила система. В процессе разговора сотрудник может спросить как зовут человека. Кто-то отвечает, кто-то нет. При такой схеме работы естественно много негатива можно услышать в ответ, ведь владельцев номеров не согласовывают эти звонки. Часто слышишь “откуда вы узнали мой номер телефона? Я на вас в суд подам”

Возникло 2 вопроса:

1) Если убрать моральную составляющую, имеет ли право организация таким образом обзванивать физ. лиц и предлагать свои услуги без предварительного на то согласования с ними?

2) В процессе разговора с владелец телефона может назвать свои персональные данные: фамилия, имя, род занятий и т.д.

Имею ли я право хранить эти данные в своей базе данных? Не нарушаю ли я таким образом закон о персональных данных?

    персональные данные, политика конфиденциальности, 152 закон о защите персональных данных
  • Поделиться

Ответы юристов ( 2 )

Возникло 2 вопроса: 1) Если убрать моральную составляющую, имеет ли право организация таким образом обзванивать физ. лиц и предлагать свои услуги без предварительного на то согласования с ними?
Алексей

Нарушения законов Российской Федерации в этих действиях нет

2) В процессе разговора с владелец телефона может назвать свои персональные данные: фамилия, имя, род занятий и т.д. Имею ли я право хранить эти данные в своей базе данных? Не нарушаю ли я таким образом закон о персональных данных?
Алексей

Вы обязаны под запись спросить у гражданина согласен ли он на это

  • 10,0 рейтинг
  • 4824 отзыва эксперт

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных.
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

Читайте также:  Декретный отпуск продлили до 4.5 лет - что это значит?

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно:

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте.

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать.

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток.
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ.

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(. ) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(. ) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

Имею ли я право хранить эти данные в своей базе данных? Не нарушаю ли я таким образом закон о персональных данных?

Ссылка на основную публикацию