Разглашение данных: понятие, степень ответственности

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Что такое разглашение информации?

Каждый человек или организация имеют право, а в ряде случаев просто обязаны, предпринять все доступные меры к охране конфиденциальной информации. К примеру, организация может потребовать удовлетворения иска относительно разглашения секретных данных только в том случае, если её руководством были приняты все разумные меры к её сохранности.

К таким мерам относятся:

• Хранить документацию, содержащую конфиденциальные данные в закрытых помещениях с ограниченным доступом или в сейфах.
• Электронные данные должны защищаться паролями или электронными ключами доступа.
• Все подобные документы должны быть промаркированы грифами «секретно», «только для внутреннего пользования». Это как к печатной, так и к электронной документации.
• В трудовом договоре, заключаемом с сотрудниками организации, должен быть прописан отдельный пункт о сохранении корпоративной тайны.
• Внутренним приказом должен быть определён круг работников, которым разрешён доступ к закрытой информации и несущих ответственность за сохранность тайны.

Разглашение конфиденциальной информации и персональных данных подразумевает преступные действия, или же бездействие определённого лица, имеющего к ним доступ, в результате чего закрытая информация попала в распоряжение третьих лиц без разрешения на то её правообладателя. В качестве примера разглашения закрытых данных можно привести:

• Единовременная передача сотрудником коммерческой информации компании-конкуренту за определённое вознаграждение.
• Предоставление доступа к закрытым данным злоумышленникам. При этом доступ может быть предоставлен как умышленно, из корыстных побуждений, так и нечаянно, в результате халатного отношения работником к своим обязанностям.
• «Излишняя болтливость» работника, в результате чего секретные данные становятся известны окружающим.
• Регулярное тайное хищение закрытых сведений с целью их продажи и получения иных выгод. Сюда относится такое преступление, как «промышленный шпионаж», который может квалифицироваться как уголовное деяние.

Что такое конфиденциальные сведения?

Исчерпывающее определение термину «конфиденциальные сведения» даёт ФЗ «О защите информации», принятый в 2006 г. Согласно этому законодательному акт, любые информационные данные, касающиеся простых граждан, организаций или государства подразделяются на общедоступные, и сведения, доступ к которым ограничен или полностью закрыт.

Свободный доступ к любым информационным сведениям ограничивается или полностью запрещается только на основании федерального законодательства. Попытка несанкционированного сокрытия прочей информации от широкой общественности преследуется по закону.

К закрытой, или секретной, информации относят все сведения, особо важные для безопасности государства. Они составляют государственную или военную тайну: это документы и сведения стратегического значения. Ответственность за разглашение информации, имеющей статус гос.тайны, установлена Уголовным кодексом. Подобные преступления относятся к разряду тяжких и особо тяжких, и наказываются реальными сроками заключения, вплоть до высшей меры.

Ограниченно закрытая информация называется конфиденциальной. Она не подлежит публичному разглашению, и доступ к ней имеют только соответствующие правоохранительные и надзорные органы в случаях, прописанных законом. Конфиденциальной считается любая информация, содержащая следующие сведения:

• О деталях следствия, судебного производства.
• О личной жизни и персональных данных человека.
• Личная переписка и телефонные разговоры гражданина.
• Сведения, являющиеся коммерческой тайной как юридического лица, так и физ.лица. Статус коммерческой тайны определяется законом, или положениями нормативных актов предприятия.
• Сведения, не подлежащие разглашению, доверяемые населением или организациями работникам ряда специальностей – врачам, адвокатам, сотрудникам правоохранительных органов.

Нарушение приватности

 Немало пользователей путают приватность и анонимность, полагая, что это одно и то же или близкие понятия. На самом деле анонимность − это возможность посещать сайты, совершать какие-либо активные действия на веб-ресурсах, например оставлять сообщения, без возможности связать ваши действия с вашей реальной личностью или местом вашего выхода в сеть. А приватность − это отсутствие доступа к информации у лиц, для которых эта информация не предназначена.

Например, вы общаетесь в мессенджере со своим собеседником, и за этим следит агент Джон. Если он пытается установить личности собеседников − это деанонимизация, он покушается на вашу анонимность. А вот если он читает вашу переписку − это уже нарушение вашей приватности: он получает доступ к информации, которая составляет вашу с собеседником тайну и не предназначена для третьих лиц.

Самыми частыми нарушениями приватности являются чтение переписок в мессенджерах, просмотр электронной почты, прослушивание телефонов. К сожалению, спецслужбы значительно чаще хакеров и киберпреступников нарушают приватность простых пользователей сети.

 Но если спецслужбы и правоохранительные органы вашей страны нарушают вашу приватность в большинстве случаев на основании права, данного законом, то спецслужбы другой державы никакого права не имеют следить за вами. А они следят. Например, почтовый сервис Yahoo согласно данным, просочившимся в СМИ, сканировал входящие письма и передавал информацию разведке США. Эдвард Сноуден после этого скандала призвал всех удалять свои аккаунты в Yahoo, мы присоединяемся к данной рекомендации.

К слову, переписки владельцев почты на Yahoo почитали, похоже, и хакеры, скомпрометировавшие по последним данным три миллиарда аккаунтов почтового сервиса. Действия Yahoo, разведки США и хакеров − грубое нарушение приватности пользователей.

Бывают и менее грубые нарушения приватности. Например, почтовый сервис Gmail был замечен за анализом содержания писем своих пользователей, на основе которого выводил связанную с текстом рекламу. Это допускается пользовательским соглашением, которое вы принимаете при регистрации.

 В рамках изучения курса мы научим вас противостоять попыткам нарушить вашу приватность как со стороны спецслужб, так и со стороны хакеров.

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Что говорят суды?

1. В Постановлении от 3 июля 2015 г. по делу № А56-72074/2014 Тринадцатый арбитражный апелляционный суд отметил, что если в отношении предмета договора установлена коммерческая тайна, то должны быть соблюдены требования ст. 10 Закона о коммерческой тайне. Из материалов дела следует, что стороны заключили NDA, но требования указанной статьи были проигнорированы полностью. Как следствие – неприменимость режима защиты конфиденциальной информации к предмету соглашения.

Аналогичная ситуация отражена в Постановлении Суда по интеллектуальным правам от 16 ноября 2017 г. № С01-922/2017 по делу № А33-28905/2016. СИП поддержал выводы судов первой и апелляционной инстанций о неприменимости к сведениям режима коммерческой тайны, поскольку не были приняты меры, установленные ст. 10 Закона о коммерческой тайне.

2

Отдельно стоит обратить внимание на Апелляционное определение Судебной коллегии по гражданским делам Московского городского суда от 24 июня 2019 г. по делу № 33-26791/2019, которое посвящено трудовым отношениям

Согласно материалам дела, организация обратилась в суд с иском к работнику о взыскании денежных средств за нарушение NDA. Суд в удовлетворении требований отказал. Мотивировал это решение он тем, что ст. 238 ТК РФ содержит положения, устанавливающие материальную ответственность работника за ущерб, причиненный работодателю, но эта норма не предусматривает ответственность за разглашение конфиденциальной информации в виде штрафа. Дополнительные условия трудового договора, ухудшающие положение работника по сравнению с установленным трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, не допускаются. В связи с этим включение в трудовой договор условия о взыскании штрафа за нарушение NDA противоречит трудовому законодательству и применению не подлежит.

Таким образом, заключение NDA в рамках трудовых отношений ограничивается нормами трудового права в силу зависимого положения работника и принципа преимущества слабой стороны.

3. Далее рассмотрим спор о форме внутренних документов, посредством которых вводится режим коммерческой тайны, на примере Решения Тихвинского городского суда Ленинградской области от 15 августа 2019 г. по делу № 2-586/2019. Суд отклонил довод о том, что в организации не был установлен режим коммерческой тайны, поскольку отсутствовал единый локальный акт. По его мнению, указания на режим коммерческой тайны в отдельных локальных актах работодателя и включения условий о таком режиме в трудовой договор достаточно для возложения на работника ответственности за разглашение конфиденциальной информации. Иными словами, в наличии единого документа нет необходимости, поскольку закон такого требования не содержит.

4. Судами также был рассмотрен вопрос о том, как соотносится режим коммерческой тайны с возможностью реализации корпоративного контроля участниками обществ.

В Решении Арбитражного суда Ставропольского края от 6 марта 2018 г. по делу № А63-23435/2017 была дана правовая оценка следующей ситуации: общество при предоставлении документов потребовало от участника подписать NDA, но он отказался. Общество обратилось с иском в суд об обязании участника заключить соответствующее соглашение. Однако суд напомнил обществу о принципе свободы договора и отсутствии обязанности у участника подписывать NDA.

Решение Арбитражного суда Ростовской области от 25 июня 2020 г. по делу № А53-35232/2019 примечательно выводом о том, что даже установление порядка оборота информации, отнесенной обществом к конфиденциальной, не является препятствием для предоставления ее участнику в целях реализации корпоративного контроля над деятельностью общества, учитывая, что законом предусмотрена обязанность участника не разглашать конфиденциальную информацию (п. 2 ст. 67, п. 4 ст. 65.2 ГК РФ) и общество имеет право потребовать выдачи соответствующей расписки от участника (п. 15 Информационного письма Президиума ВАС РФ от 18 января 2011 г. № 14).

Обобщая вышесказанное, можно сделать вывод о том, что процедура введения режима коммерческой тайны установлена законом, требования имеют императивный характер. Кроме того, существуют ограничения для трудовых и корпоративных отношений, сужающие сферу применения NDA. Тем не менее в крупных корпорациях, в том числе российских, принято подписывать NDA. Считается, что заключение такого соглашения оказывает дисциплинирующее воздействие на стороны. Наличие психологического фактора не исключено, однако ценность любого соглашения заключается в его юридической силе. А придать ее NDA удастся только в случае соблюдения всех законодательных требований.

Наказание за разглашение закрытой информации

В случае несанкционированного разглашения закрытых данных пострадавшее лицо вправе обратиться за защитой в правоохранительные или судебные органы. При этом заявитель должен будет доказать в судебном порядке наличие факта разглашения данных.

В качестве доказательной базы может выступать:

• Факт пересылки сотрудником электронной документации третьим лицам. Зафиксировать это можно с помощью системных администраторов компании, отследив IP-адреса отправителя и получателя.
• Свидетельские показания других работников компании.
• Обнаружение у сотрудника копий конфиденциальных документов, сделанные им по собственной инициативе без соответствующего распоряжения начальства.
• Записи камер видеонаблюдения, на которых работник без разрешения вынимает документы из хранилища, передаёт их кому-либо, снимает с них копию, фотографирует.
• Косвенные признаки. Например, когда установлен явный факт утечки, в то время как доступ к информации имел только один человек.

Российское законодательство предусматривает за подобное преступное деяние целый комплекс различных наказаний, в зависимости от вида проступка и его последствий:

• Дисциплинарное взыскание. Назначается нерадивому служащему в соответствии с решением руководства. Это может быть лишение премиальных выплат, выговор, замечание, а в крайнем случае – увольнение по статье КЗоТа. Постановление о наложении дисциплинарного взыскания должно быть оформлено законным образом в виде внутреннего приказа по организации.
• Административное взыскание. Подобная ответственность может налагаться в случае разглашения конфиденциальных данных как личного, так и коммерческого характера. Под действие административного кодекса не подпадает только разглашение сведений, составляющих гос.тайну. Максимальное наказание, предусмотренное административным кодексом за подобное правонарушение – наложение штрафа до 10 000 руб.
• Уголовное наказание. Под действие УК РФ может подпадать целый спектр деяний, связанных с разглашением секретной информации. Это может быть опубликование неких данных личного характера, промышленный шпионаж или же разглашение государственной тайны. В отличие от прочих правовых кодексов, подпадание правонарушения в сферу юрисдикции уголовного кодекса может означать наказание в виде реального тюремного срока.
• Гражданская ответственность. Наступает в ряде случаев, как в виде самостоятельного наказания, так и в виде сопутствующего взыскания. Примером подобного взыскания может служить вынесение судебными органами решения о возмещении пострадавшему морального вреда.

Любой вид законного наказания может назначаться только в результате соответствующего судебного постановления. То есть, для наложения на виновника разглашения взыскания, потребуется доказать, что в утечке данных виноват именно он. Вообще, разглашение конфиденциальной информации и персональных данных, является преступленным деянием весьма сложного состава. При рассмотрении и ведении подобных дел очень часто допускаются различные ошибки относительно правоприменения статей законодательства.

Ещё сложнее бывает пострадавшему защитить свои законные интересы. В этом случае необходимо правильно определить состав преступления, правильно подготовить исковое заявление, собрать всю необходимую доказательную базу. Всё это бывает крайне сложно произвести гражданину, далёкому от юридической практики. Лишь обратившись за помощью к квалифицированному специалисту, можно получить всю необходимую информацию по существу проблемы.

Прочие виды конфиденциальной информации

Установить значение понятия «конфиденциальность» помогает закон об информации. Последний определяет ее как обязательства, накладываемые на лицо, которое имеет в своем распоряжении информацию. Обязательства включают в себя обеспечить сохранность данных от несанкционированного доступа третьих лиц без законного согласия их обладателя. В исключительных случаях требуется сокрытие самого факта существования определенного набора данных. Классификацию, которая систематизирует конфиденциальную информацию, можно увидеть в указе №188 «О сведениях конфиденциального характера». Согласно указу, в перечень входят:

1. Данные об обстоятельствах и фактах личной жизни человека, которые способны его идентифицировать. Их называют «персональные данные». Исключение составляют те сведения, которые гражданин либо юридическое лицо обязаны распространить в определенных обстоятельствах, определяемых законом;2. Данные, разглашение которых может повлиять на осуществление следственных действий или судебного производства;3. Служебная тайна или данные для служебного использования. Доступ к такой информации предоставляется служащему исключительно для исполнения определенных задач из сферы его служебного ведения. Она не может быть использована с какой-либо иной личной целью;4. Сведения, которые человек получает как специалист в ходе своей профессиональной деятельности. Доступ к ним регулируется отдельными нормативами и зачастую бывает ограничен частично или полностью;5. Коммерческая тайна. В эту категорию входят, например, отчеты о финансовом состоянии, планирование и записи о деловой активности. Такую информацию допустимо блокировать согласно внутреннему регламенту коммерческих структур;6. Сведения об инновациях, их сути, чертежах, прототипах или промышленном образце. Изобретения защищаются от шпионажа и копирования до публикации официальной открытой информации о них.

Рассмотрим перечисленные категории более подробно.

Жест V пальцами – «символ мира» – может передать ваши отпечатки пальцев

Классический знак мира V, который делается двумя пальцами с рукой, повёрнутой вперёд, по мнению экспертов по безопасности может стать катастрофой для вашей конфиденциальности.

Представитель Шанхайской ассоциации информационной безопасности Чжан Вэй объяснил, что фотографии таких пальцев с 3 метров могут передать 50% информации об отпечатках пальцев. Если фото сделано с 1,5 метров, то можно получить и 100%-ю информацию об отпечатках. Такие изображения пальцев можно использовать для обмана систем, которые как раз полагаются на отпечатки пальцев для доступа к каким-либо местам или аккаунтам.

Когда возможности и точность технологических систем возрастают, они могут улучшить нашу жизнь, но также могут стать угрозой для нашей конфиденциальности.

Уголовная ответственность

Уголовная ответственность наступает в том случае, если были разглашены личные данные человека, создавшие угрозу его частной жизни, затронули его безопасность или предоставили для общего доступа сведения, которые не подлежат огласке и охраняются законами РФ. За подобные деяния отвечает статья 137 Уголовного Кодекса, именуемая «нарушение неприкосновенности частной жизни», которая включает в себя три пункта:

Часть первая статьи 137 УК РФ. Рассматривает незаконный сбор сведений о личной жизни гражданина, распространение этой информации, а так же распространение личных и семейных тайн гражданина посредством выступлений либо произведений для массовой демонстрации. Наказывается:

• Штрафом до 200 000 рублей;
• Штрафом в размере дохода виновного за полтора года;
• Обязательными работами до 360 часов;
• Исправительными работами сроком до года;
• Принудительными работами на 2 года;
• Четырьмя месяцами ареста;
• Двумя годами лишения свободы.

Часть вторая статьи 137 УК РФ. Рассматривает все то же преступление но с той оговоркой, что информация была получена или распространена с помощью служебного положения виновного. Наказывается следующими способами:

• 100 000 – 300 000 рублей штрафа;
• 4 года принудительных работ;
• 6 месяцев ареста;
• До 4 лет лишения свободы;
• Лишение права заниматься определенным видом деятельности, дающим полномочия, на срок до 5 лет.

Часть третья статьи 137 УК РФ. Она так же рассматривает распространение сведений публичным путем, но затрагивает только те данные, которые касаются преступлений, совершенных по отношению к несовершеннолетнему. А также совершенных путем причинения значительных физических или моральных страданий. То есть эта часть рассматривает распространение любых сведений, касающихся значительных преступлений и их влияния на личность потерпевшего. Наказанием будут выступать:

• Штраф от 150 000 до 300 000 рублей;
• Штраф в размере заработка виновного за период до 3х лет;
• До 5 лет принудительных работ;
• До 6 месяцев ареста;
• До 5 лет лишения свободы;
• Запрет на ведение деятельности, дающей определенные полномочия, на срок до 6 лет.