Как (не) подвести своего сотрудника под уголовную статью

Уже с декабря 2024 года в Уголовном кодексе РФ (далее – УК РФ) есть новая статья 272.1, которая предполагает наказание за незаконную обработку персональных данных, находящихся в формате «компьютерной информации», т.е. в формате цифровых данных.

Обычно, когда такие новации появляются в законодательстве, отношение к ним можно описать формулой «будем поглядеть», мол, вот начнут ее применять – тогда и посмотрим, как оно работает. И тогда будем думать, что нам с этим делать. Так вот, по этой статье уже есть прецедент применения.

В марте этого года по п. г ч. 3 ст. 272.1 УК РФ возбуждено сразу два уголовных дела. Главный фигурант по обоим – один и тот же молодой человек. Будучи сотрудником салона сотовой связи, он скачал и передал третьим лицам персональные данные двух абонентов. Понятно, что своего согласия на подобные действия эти абоненты не давали.

Пункт «г» части 3 указанной статьи предполагает не просто незаконное использование персональных данных, а еще и отягченное служебным положением нарушителя. Так что минимальное наказание, которое грозит этому молодому человеку – штраф от одного миллиона рублей. Вопрос, стоило ли оно того, оставим за скобками.

По общему правилу, в УК РФ внутри каждой статьи самые легкие наказания назначаются за преступления, указанные в первой части. Дальше уже идут разные осложнения и отягощения. И чем больше номер части статьи, тем серьезнее будет ответственность.

Именно п. г. ч.3 ст. 272.1 УК РФ предполагает ответственность за нарушения при обработке персональных данных, совершенные по месту работы. И если ваши сотрудники совершают такие нарушения, то они сразу под этот пункт и попадают.

Конечно, у работодателя может возникнуть мысль, что работники сами и виноваты, что нарушают. Но на деле это не всегда так. Как показывает практика аудитов процессов, связанных с персональными данными, которые мы проводим нашим клиентам, зачастую в компании в принципе так выстроены все процедуры, что нарушения становятся частью рутинных процессов.

Это звучит странно, но мы просто привыкли, что можно что-то скачать, куда-то переслать, сделать скриншот и т.д. Мы делаем это не задумываясь, машинально, но это не отменяет того, что эти действия могут нарушать конфиденциальность персональных данных.

Да, в том случае, который описан в начале статьи, вряд ли можно говорить о случайности. Но понимания того, какой масштаб может иметь «просто скачай данные», скорее всего, тоже не было. Это одна из основных проблем сегодня – не хакеры, а рядовые сотрудники, которые непосредственно обрабатывают данные, и являются основным каналом утечек.

На практике для сотрудников редко проводят реальное обучение, не для галочки. Им почти никогда не объясняют серьезность их работы и последствия нарушений. Да и сами процессы, как отмечалось выше, зачастую оставляют желать лучшего.

Да, уголовную статью получит работник, не компания. Но тень будет и на компании тоже. Не обеспечили, не отследили. Это репутационные риски как минимум. А может, и отдельные штрафы для компании, если в ходе следствия выяснится, что сам работодатель создал условия, когда нарушение стало возможным. А с 30 мая 2025 года и штрафы за утечки можно будет получить в отдельных случаях.

Да, в существующей реальности подходить к вопросу безопасности персональных данных надо не формально, а предметно. Разрабатывать документацию, проводить аудиты, обучать персонал.

#сотрудники #уголовноедело #штрафы

Автор

Елена Федорова

Юрисконсульт