Какая ответственность за разглашение персональных данных третьим лицам
Изображение: recraft
Персональные данные защищаются специальным режимом. Разглашение без согласия субъекта незаконно — от невинного, на первый взгляд, форварда резюме в общий чат до публикации клиентской базы в интернете.
Правовая система реагирует сразу по нескольким контурам: административный и дисциплинарный, гражданско‑правовой и уголовный. У оператора возникают как регуляторные риски, так и прямые убытки (штрафы, иски, потери клиентов, затраты на реагирование). Эта статья системно разбирает, что считается разглашением, кто отвечает и как выстроить защиту, чтобы не попадать под типовые составы.
Ключевой запрет и круг адресатов: что именно нельзя делать
Базовый запрет на раскрытие без согласия установлен в ст. 7 и ст. 24 152‑ФЗ. Он охватывает всех, кто получил доступ к данным «по работе»: оператора, его работников, подрядчиков, агентов и любых иных лиц, действующих по поручению.
Защита распространяется не только на клиентов и партнеров, но и на потенциальных клиентов (посетителей сайта, подписчиков рассылок, кандидатов), чьи данные попали в периметр оператора в результате целенаправленного сбора.
Важно различать термины. Разглашение — предоставление сведений третьим лицам без правового основания. Распространение — доведение до неограниченного круга лиц, для которого закон ввел отдельный режим согласия (ст. 10.1 152‑ФЗ). В обоих сценариях без должных оснований наступают последствия.
Административная ответственность: как квалифицируют и где болевые точки
Какой состав применять
Незаконное разглашение квалифицируют как нарушение порядка обработки по ст. 13.11 КоАП РФ. Конкретная часть зависит от обстоятельств: размер штрафа за утечку баз данных с персональной информацией напрямую зависит от объема утерянных данных.
Практический ориентир для квалификации:
- 12 ст. 13.11 при компрометации базы от 1 000 до 10 000 человек, штраф от 3 до 5 млн руб. для юридических лиц;
- 12 ст. 13.11для утечки от 10 000 до 100 000 человек, штраф от 5 до 10 млн руб. для юридических лиц;
- 14 ст. 13.11 для баз свыше 100 000 человек штраф до 15 млн руб.
- оборотные штрафы: оператор персональных данных, допустивший повторную утечку, может быть оштрафован на сумму до 3 % от годовой выручки, но не менее 25 млн и не более 500 млн руб.
Кто и за что платит
Штрафы предусмотрены для граждан, должностных лиц, индивидуальных предпринимателей и юридических лиц. На практике протоколы составляют и на организацию (за нарушение оператора), и на должностное лицо (например, на ответственного за ПДн или руководителя подразделения), и на гражданина‑сотрудника, который совершил разглашение.
Отсутствие умысла на разглашение не освобождает от ответственности
Даже без умысла на публикацию событие квалифицируют по ст. 13.11 КоАП РФ, если оператор не внедрил достаточные меры защиты и из‑за этого произошел инцидент.
Уголовная ответственность: когда дело уходит из плоскости регулятора
Ст. 137 УК РФ: неприкосновенность частной жизни
Незаконное распространение сведений, составляющих личную или семейную тайну, в любой форме (включая интернет‑публикации) образует состав ст. 137 УК РФ. Как правило, к нему приходят при утечках с явной персональной привязкой, когда разглашение затронуло интимные или семейные обстоятельства, медицинские сведения, адреса проживания, семейное положение.
Незаконное обращение компьютерной информации
При несанкционированных выгрузках баз, передаче дампов внешним лицам, взломах и обходе техзащиты оценивают составы «компьютерного блока» УК РФ (в т. ч. ст. 272 и смежные нормы о неправомерном доступе). Наличие корыстной цели, групповое совершение, использование служебного положения — все это квалифицирующие признаки, которые увеличивают санкции.
Исключение: личные и семейные нужды
Физическое лицо не несет уголовной ответственности за обработку ПДн исключительно для личных или семейных целей, если такие действия не нарушают права других лиц.
Дисциплинарная и материальная ответственность работника: как действует работодатель
Дисциплинарные меры и процедура
Разглашение ПДн — нарушение трудовых обязанностей. Работодатель вправе применить замечание, выговор либо увольнение по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ (разглашение охраняемой законом тайны). Чтобы взыскание устояло, важно соблюсти процесс:
- зафиксировать событие актом,
- истребовать объяснение у работника,
- провести служебное расследование,
- издать приказ в установленные сроки и ознакомить работника под подпись.
Материальная ответственность и регресс
Если организация компенсировала ущерб субъекту (имущественные потери, моральный вред), она вправе взыскать эти суммы с виновного работника в порядке регресса. На практике размер регресса зависит от степени вины, должностных обязанностей и соблюдения работодателем мер предотвращения утечки.
Гражданско‑правовая ответственность: что может требовать субъект
Убытки и упущенная выгода
При доказанном причинно‑следственном звене субъект может взыскать реальный ущерб и упущенную выгоду. Пример: из‑за публикации паспортных данных сорвалась сделка, возникла необходимость нести дополнительные расходы на восстановление документов.
Компенсация морального вреда
Право на компенсацию морального вреда закреплено в ст. 151 ГК РФ и ч. 2 ст. 24 152‑ФЗ, действует независимо от возмещения имущественного ущерба. Размер определяет суд с учетом вины, характера и глубины страданий, публичности разглашения, длительности распространения и поведения нарушителя после события (п. 2 ст. 1101 ГК РФ). Важными становятся действия оператора по минимизации последствий: оперативное удаление копий, обращения к площадкам, предложение помощи пострадавшему, внутреннее расследование.
Как квалифицировать событие: рабочая карта для юриста и ИБ
- Идентифицируйте субъектов и данные. Определите, чьи сведения раскрыты, есть ли специальные категории, затронуты ли третьи лица (родственники, дети).
- Фиксируйте факт и объем разглашения. Скриншоты, хеш‑суммы файлов, сетевые логи, письма площадкам о снятии контента.
- Отделите разглашение от распространения. Оцените публичность: ограниченный круг адресатов или «открытый интернет».
- Проверьте основания обработки. Было ли согласие, предусмотрено ли законом предоставление.
- Оцените вину и меры защиты. Были ли регламенты, обучение, разграничение доступа, аудит.
- Разведите ответственность. Потенциальные протоколы по КоАП для юрлица, должностного лица, сотрудника; гражданский иск; основания для дисциплинарного взыскания; признаки уголовного состава.
Типовые кейсы и как их разбирают
Кейс 1. HR переслал резюме кандидата со сканом паспорта в общий чат мессенджера. Нет согласия на такое раскрытие, данные ушли неопределенному кругу работников.
Квалификация: незаконная обработка (ч.1 ст. 13.11 КоАП РФ).
Действия: быстрое удаление сообщений, уведомление адресатов о запрете дальнейшего распространения, акт события, выговор HR, обучение.
Кейс 2. Менеджер «продает» выгрузку базы конкурента. Это не только административная ответственность и увольнение, но и «компьютерный» состав УК РФ, если имела место незаконная передача охраняемой компьютерной информации.
Действия: фиксация передачи, обращение в правоохранительные органы, иск о защите конфиденциальной информации и убытках, поддержка уголовного дела.
Как не допускать разглашений: документы, процессы, техника
Нормативные документы (ЛНА)
- Политика обработки ПДн с четкой привязкой целей к категориям субъектов и данных, порядком предоставления третьим лицам и запретом на использование несанкционированных каналов (ст. 18.1 152‑ФЗ).
- Положение о конфиденциальной информации/коммерческой тайне с перечнем сведений, метками на документах и порядком доступа.
- Регламент коммуникаций: допустимые каналы, запрет пересылки ПДн в личные мессенджеры, правила гостевого доступа.
- Порядок уничтожения ПДн с актами и ролями (приказ РКН № 179).
- Договоры и поручения с подрядчиками: обязанности по конфиденциальности, ограничение целей, локализация и удаление по завершении работ.
Процессы
- Обучение и аттестация: короткие курсы для новых сотрудников, ежегодные обновления, контроль усвоения.
- Служебные расследования: регламент по фиксации, комиссионной оценке, срокам и доказательствам.
- Управление правами: принцип «минимально необходимого», регулярные ревью доступов.
Шаблонные формулировки: что добавить в документы уже завтра
Фрагмент политики ПДн (разглашение/распространение)
Предоставление персональных данных третьим лицам допускается только при наличии правового основания (закон, договор, согласие), в объеме, необходимом для целей обработки, с оформлением поручения либо соглашения о конфиденциальности. Распространение персональных данных допускается исключительно при наличии отдельного согласия субъекта на распространение, отделенного от иных согласий (ст. 10.1 152‑ФЗ).
Фрагмент трудового договора/ДИ (конфиденциальность)
Работник обязуется не разглашать персональные данные и иную конфиденциальную информацию, ставшие известными в связи с исполнением трудовых обязанностей, соблюдать установленные правила доступа и использовать только разрешенные каналы коммуникаций. Нарушение указанной обязанности является грубым нарушением трудовых обязанностей и может повлечь расторжение трудового договора по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.
Фрагмент договора с подрядчиком (поручение обработки)
Подрядчик обязуется обеспечивать конфиденциальность полученных персональных данных, использовать их исключительно для целей, определенных Заказчиком, не передавать третьим лицам без письменного согласия Заказчика, незамедлительно уведомлять об инцидентах и уничтожать данные по завершении работ, оформив акт уничтожения.
Контрольная карта риска: кто отвечает и как
Итог: практические выводы в одном абзаце
Разглашение персональных данных — зона многослойной ответственности.
Оператор отвечает и за собственные ошибки, и за действия сотрудников и подрядчиков. Чтобы не подставляться, нужно зафиксировать запреты и допустимые каналы в ЛНА и договорах, внедрить технические барьеры для утечек, регулярно обучать сотрудников и быстро реагировать на инциденты с документальной фиксацией.
Так вы снижаете вероятность протоколов по КоАП, удерживаете позицию в гражданских спорах и минимизируете шансы, что событие «переквалифицируется» в уголовный состав.
