Добавить в корзинуПозвонить
Найти в Дзене
Чёрная Бухгалтерия
4240 подписчиков

Разглашение персональных данных: ответственность в 2026 году

84
6 мин
Персональные данные давно перестали быть исключительно кадровым вопросом. Сегодня с ними работает практически любой бизнес: от небольшого интернет-магазина до крупной производственной компании. Достаточно хранить контакты клиентов, принимать заявки через сайт или вести базу сотрудников — и вы уже обязаны соблюдать требования законов. В противном случае могут применяться различные виды ответственности. В этой статье рассказываем о том, что считается разглашением персональных данных, какие сведения нельзя передавать третьим лицам, есть ли исключения и какая ответственность действует в 2026 году. Не забудьте нажать «лайк» и подписаться на Чёрную Бухгалтерию в Дзене, чтобы следить за другими полезными публикациями для бизнеса: Разглашением персональных данных является любое действие, в результате которого сведения о человеке стали доступны третьим лицам без его согласия — в случаях, когда такое согласие требуется. Для организаций и ИП такая это означает прямое нарушение режима конфиденциа
Оглавление

Персональные данные давно перестали быть исключительно кадровым вопросом. Сегодня с ними работает практически любой бизнес: от небольшого интернет-магазина до крупной производственной компании.

Достаточно хранить контакты клиентов, принимать заявки через сайт или вести базу сотрудников — и вы уже обязаны соблюдать требования законов. В противном случае могут применяться различные виды ответственности.

В этой статье рассказываем о том, что считается разглашением персональных данных, какие сведения нельзя передавать третьим лицам, есть ли исключения и какая ответственность действует в 2026 году.

Не забудьте нажать «лайк» и подписаться на Чёрную Бухгалтерию в Дзене, чтобы следить за другими полезными публикациями для бизнеса:
dzen.ru
Чёрная Бухгалтерия | Дзен

Что считается разглашением персональных данных

Разглашением персональных данных является любое действие, в результате которого сведения о человеке стали доступны третьим лицам без его согласия — в случаях, когда такое согласие требуется.

Для организаций и ИП такая это означает прямое нарушение режима конфиденциальности персональных данных.

Под персональными данными понимаются любые сведения, которые прямо или косвенно относятся к конкретному человеку.

Таким образом, если компания обрабатывает данные своих сотрудников, клиентов или соискателей, она является оператором персональных данных и обязана соблюдать требования Федерального закона от 27.07.2006 № 152-ФЗ.

Обратите внимание: оператор персональных данных также обязан уведомить Роскомнадзор о начале обработки таких сведений.

Какие данные нельзя раскрывать третьим лицам

Главное правило: передавать персональные данные человека третьим лицам запрещено без его предварительного согласия. К таким сведениям относятся:

  • Фамилия, имя и отчество;
  • Дата и место рождения;
  • Возраст;
  • Гражданство;
  • Паспортные данные;
  • Адрес регистрации и фактического проживания;
  • Номера телефонов;
  • Адреса электронной почты;
  • Сведения об образовании, квалификации и профессиональной подготовке;
  • Информация о семье и семейном положении;
  • СНИЛС;
  • ИНН;
  • Данные водительского удостоверения;
  • Сведения о воинской обязанности;
  • Данные о трудовом стаже и предыдущих местах работы;
  • Информация о доходах;
  • Сведения о заработной плате;
  • Данные о дисциплинарных взысканиях и иной текущей трудовой деятельности.

Важно отметить, что к персональным данным относится и фотография человека, поскольку она позволяет его идентифицировать.

Помните: использование или публикация фотографии гражданина без согласия может повлечь ответственность. Исключения предусмотрены только для фото, сделанных на публичных мероприятиях, а также при наличии государственного или общественного интереса.

Почему согласия на обработку персональных данных недостаточно

На практике владельцы бизнеса нередко считают, что если человек подписал согласие на обработку данных, этого достаточно для любых действий с личной информацией.

Однако законодательство разделяет обработку и распространение персональных данных.

  • Если сведения необходимо передать третьим лицам или разместить в открытом доступе (например на корпоративном сайте) — требуется отдельное согласие на распространение персональных данных.
Именно в таком документе человек определяет, какие сведения можно раскрывать, а какие остаются закрытыми для публикации.

Согласие оформляется с учетом требований Приказа Роскомнадзора от 24.02.2021 № 18. Обычно в нем отражаются:

  • Данные работника;
  • Сведения об операторе персональных данных;
  • Перечень персональных данных, разрешенных к распространению;
  • Категории сведений, которые запрещено публиковать;
  • Цель передачи информации;
  • Ресурс, на котором данные будут размещаться.
Помните: формулировка цели передачи данных имеет особое значение. Она должна быть сформулирована конкретно и однозначно.

Когда персональные данные можно передавать без согласия

Несмотря на общий запрет, законодательство предусматривает два случая, при которых согласие работника не требуется. Это возможно, если:

  1. Обязанность по передаче сведений прямо установлена законом;
  2. Работодатель получил мотивированный запрос от уполномоченного государственного органа.
Например, это могут быть запросы из прокуратуры, органов безопасности, МВД, Государственной инспекции труда и других органов, наделенных соответствующими полномочиями.

При этом запрос должен содержать не только требование предоставить информацию, но и цель получения сведений, а также правовые основания такого запроса.

На практике это означает, что не любая организация вправе требовать персональные данные работников.

Например:

  • Налоговым органам сведения предоставляются в объеме, который предусмотрен законодательством;
  • Военным комиссариатам информация может передаваться в случаях и объеме, установленных законодательством о воинском учете;
  • Адвокатским образованиям работодатель передавать персональные данные сотрудников без их согласия не обязан.

Разглашение персональных данных: виды ответственности в 2026 году

Нарушение требований о защите персональных данных может повлечь сразу несколько видов ответственности. Причем в некоторых случаях последствия могут наступить одновременно по нескольким направлениям.

Дисциплинарная ответственность

Если сотрудник получил доступ к персональным данным и нарушил обязательства по их неразглашению, работодатель вправе применить меры дисциплинарного воздействия.

В зависимости от обстоятельств это может быть:

  • Замечание;
  • Выговор;
  • Увольнение по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ.
Обратите внимание: практика подтверждает, что разглашение персональных данных коллег может стать основанием для расторжения трудового договора.

Административная ответственность

Административная ответственность наступает, когда организация не обеспечила надлежащую защиту персональных данных и это привело к несанкционированному доступу третьих лиц.

Например, если документы с персональными данными попали в открытый доступ и посторонний человек получил возможность ознакомиться с ними или распространить содержащуюся информацию.

Основание — часть 6 статьи 13.11 КоАП РФ.

Уголовная ответственность

В наиболее серьезных случаях может наступить уголовная ответственность по статье 137 УК РФ.

Она применяется, когда происходит незаконный сбор или распространение сведений о частной жизни человека без его согласия.

Например:

  • Незаконное отслеживание местоположения сотрудника;
  • Публикация записей с камер видеонаблюдения;
  • Распространение личной информации без законных оснований.

Конкретное наказание определяется судом с учетом обстоятельств дела.

Гражданско-правовая ответственность

Человек, чьи персональные данные были раскрыты незаконно, вправе обратиться в суд (ст. 15 и 151 ГК РФ). Он может потребовать:

  • Возмещения убытков;
  • Компенсации морального вреда.
Размер компенсации определяется судом индивидуально с учетом последствий совершенного нарушения.

Штрафы за разглашение персональных данных в 2026 году

За нарушение требований по защите персональных данных законодательство предусматривает различные санкции.

Административные штрафы (ч. 6 ст. 13.11 КоАП РФ)

  • Для должностных лиц— от 8 000 до 20 000 ₽
  • Для ИП — от 20 000 до 40 000 ₽
  • Для юридических лиц — от 50 000 до 100 000 ₽

Возможные меры уголовной ответственности (ст. 137 УК РФ)

По решению суда также могут применяться:

  • Штраф до 200 000 рублей или в размере заработка осужденного;
  • Обязательные работы до 360 часов;
  • Исправительные работы сроком до одного года;
  • Арест до четырех месяцев;
  • Лишение свободы на срок до двух лет;
  • Лишение права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Штраф за не уведомление Роскомнадзора

Если организация, ИП или физическое лицо являются оператором персональных данных, но не уведомили Роскомнадзор о начале обработки данных, за это также предусмотрена ответственность.

За отсутствие уведомления может применяться штраф:

  • Для организации — до 300 000 рублей;
  • Для руководителя — до 50 000 рублей.
Помните: даже единичный случай раскрытия сведений способен привести не только к финансовым потерям, но и к судебным спорам, проверкам и репутационным рискам.

Если вы хотите развивать бизнес, не отвлекаясь на частые нововведения и сложности ведомствами — обратитесь к Чёрной Бухгалтерии!

Наша команда заберет на себя ведение учетов, расчет налогов и взносов, подачу отчетности, коммуникацию с ФНС и другие задачи с учетом всех изменений, чтобы вы работали без ошибок и штрафов.

Узнайте больше о компании, ознакомьтесь с услугами и оставьте заявку уже сейчас — на сайте чёрнаябухгалтерия.рф.

-2

Безопасность и правопорядок
95,2 тыс интересуются