Несет ли ответственность сотрудник государственного учреждения, если он разгласил контакты или имя человека, который ранее подал заявление в его структуру для проверки некоторого субъекта (ИП или торговой точки)? Последний с использованием связей начал выяснять, кто на него пожаловался.
В ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» определено, что персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Федерального закона «О персональных данных»).
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным (ст. 9 Федерального закона «О персональных данных»).
Таким образом, любое государственное учреждение в отношении заявителей физических лиц обязано обеспечить режим защиты персональных данных. Любой сотрудник такого учреждения не является самостоятельным оператором обработки персональных данных, а является должностным лицом такого учреждения и выполняет должностные функции в рамках своих должностных обязанностей.
При разглашении персональных данных физического лица (а контакты и имя, безусловно, являются персональными данными) оператором персональных данных (государственным учреждением) такой оператор может быть привлечен к ответственности на основании ст. 24 Федерального закона «О персональных данных».
Основной формой ответственности за нарушение законодательства о персональных данных является административная ответственность (ст. 13.11 КоАП РФ), хотя предусмотрена и уголовная ответственность и существует возможность гражданско-правовой ответственности в виде взыскания убытков и (или) морального вреда.
Кроме этого, за нарушение положений Федерального закона «О персональных данных» может наступить дисциплинарная ответственность в соответствии с Трудовым кодексом РФ (в отношении должностных лиц или работников организации, осуществляющих обработку персональных данных, за ненадлежащее исполнение ими своих трудовых обязанностей, связанных с обработкой персональных данных).
Не стоит забывать также о возможности регрессных требований, которые могут быть предъявлены привлеченным к гражданско-правовой ответственности оператором персональных данных своему сотруднику, раскрывшему такую информацию.