Статья 89. права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

Содержание:

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

  Конклюдентное согласие Согласие в письменной форме Иные формы согласия
+ Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

Документы

Для обеспечения защиты персональных данных работников в организации должны быть соответствующие документы (их бланки и образцы можно скачать ниже).

Больше информации о документах, связанных с ПД работников, найдете в нашем специальном материале.

Заявление

При трудоустройстве новый сотрудник пишет заявление о согласии на обработку персональных данных.

Факт наличия трудовых отношений еще не означает, что обработка сведений о работнике возможна, поэтому необходим этот документ. Однако организация может работать с данными, если это необходимо для исполнения договора.

Такой документ должен включать в себя:

  • Дату, название, ФИО адресата.
  • Тип данных.
  • Название и адрес фирмы-работодателя.
  • Цель предоставления информации.
  • Методы обработки информации.
  • Срок заявления.

О правилах написания заявления на обработку и прочие операции с ПД мы рассказываем тут.

Согласие

Работодатель может получить персональные данные только у самого работника, они являются его прерогативой. Если этого сделать нельзя, то запрашивать информацию у третьих лиц можно только с письменного согласия работника. Ему необходимо сообщить, из каких источников будут браться сведения, и для чего они нужны, а также о последствиях отказа сообщить эту информацию.

Документ должен включать в себя:

  1. ФИО, адрес, реквизиты паспорта.
  2. Информация о лице, получающем согласие.
  3. Цель сбора сведений.
  4. Перечень данных, на которые дается согласие.
  5. Информация о лице, которое будет работать с информацией.
  6. Способы обработки информации.
  7. Срок, на который распространяется согласие.
  8. Подпись сотрудника.
  • Скачать бланк согласия на обработку персональных данных
  • Скачать образец согласия на обработку персональных данных

Сотрудник имеет право отозвать свое согласие. Это будет целесообразно, например, при увольнении.

Положение

Положение о персональных данных – внутренний документ организации, разрабатываемый кадровой службой.

В нем необходимо указать:

  1. Цели и задачи положения.
  2. Понятие и состав сведений, о которых идет речь.
  3. Место хранения информации.
  4. Процедура получения сведений. Указывается когда нужно и не нужно получать согласие.
  5. Способы обработки информации.
  6. В каких пределах используются сведения. Кто имеет к ним доступ.
  7. Защита сведений от несанкционированного доступа и утери.
  8. Права работника относительно защиты конфиденциальной информации.
  9. Ответственность за разглашение и неправильное хранение информации.
  • Скачать бланк положения о персональных данных
  • Скачать образец положения о персональных данных

Соглашение

В соглашении о неразглашении персональных данных указывается:

  1. Имя работника.
  2. Перечень обязанностей по сохранению конфиденциальности полученных сведений.
  3. Ответственность работника в случае невыполнения соглашения.
  4. Отмечается факт, что сотрудник ознакомлен с соглашением.

Обязательство

Обязательство о неразглашении персональных данных подписывается сотрудниками, имеющими к ним доступ. В документе сотрудники указывают сведения о себе и дают обязательство:

  • Не передавать информацию третьим лицам.
  • Не использовать сведения с целью извлечения выгоды.
  • Сообщать руководству о фактах несанкционированного проникновения к личным данным.

В бумаге перечисляются виды ответственности работника:

  1. Знание и соблюдение требований относительно работы с личными сведениями.
  2. Сохранение информации в тайне.
  3. Соблюдение законов РФ и внутренних приказов организации о работе с данными.
  4. Своевременное оповещение руководства об утере данных.
  • Скачать бланк обязательства о неразглашении персональных данных
  • Скачать образец обязательства о неразглашении персональных данных

Организации, собирающие личные данные сотрудников, ответственны за их хранение и использование. Защита конфиденциальности полученной информации требует серьезного отношения.

Классификация информационных систем персональных данных (ИСПД)

Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем. 

По объему ПД системы делят на три типа:

1. К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации.

2. Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании. Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.

3. К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании.

Проанализировав исходные данные, можно присвоить системе соответствующий класс:

  • В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.
  • Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.
  • Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
  • К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.

Классы принято условно обозначать буквой «К». Порядок проведения классификации ИСПД регламентирован приказом ФСТЭК. 

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

  • Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
  • Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

  • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
  • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Комментарий к ст. 86 Трудового Кодекса РФ

Комментарии к статьям ТК помогут разобраться в нюансах трудового права.

§ 1. Статья 86 ТК направлена на то, чтобы персональные данные использовались прежде всего в интересах работника: для определения его правового положения по отношению к работодателю, объема и содержания прав и обязанностей работника, вытекающих из трудового договора, и соответственно встречных прав и обязанностей работодателя.

§ 2. Персональные данные работника призваны дать обоснование правомерности заключения и реализации трудового договора, его прекращения, представление об условиях его труда, полагающихся ему гарантиях, компенсациях и льготах.

§ 3. Среди документов и материалов, содержащих информацию, необходимую работодателю в связи с трудовыми отношениями, основное место занимают:

1) документы, предъявляемые при заключении трудового договора (см. ст. 65 ТК);

2) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;

3) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры;

4) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);

5) документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций.

Среди персональных данных работника должны быть трудовой договор, приказ (распоряжение) о приеме на работу, приказы (распоряжения) об изменении условий трудового договора, его прекращении, а также приказы (распоряжения) о поощрениях и дисциплинарных взысканиях, примененных к работнику. В период действия трудового договора среди персональных данных работника должна находиться его трудовая книжка.

§ 4. Сведения о личности человека, его личной жизни, нередко связанные с его достоинством, авторитетом в коллективе, в обществе, могут послужить основанием прекращения трудовых соглашений (см. п. 8 ст. 81 ТК). Работодатель, его представитель, располагая подобными сведениями, должны иметь в виду, что достоинство личности охраняется государством. Ничто не может быть основанием для его умаления (ч. 1 ст. 21 Конституции РФ).

§ 5. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства (ч. 1 ст. 23 Конституции РФ).

Конституционные права граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах, защищаются Федеральным законом от 20 февраля 1995 г. N 24-ФЗ «Об информации, информатизации и защите информации» (СЗ РФ. 1995. N 8. Ст. 609).

Пункт 1 ст. 11 Федерального закона от 20 февраля 1995 г. запрещает сбор, хранение, использование и распространение информации, нарушающей личную тайну, связанную с личностью гражданина и его жизнью.

Частью 1 ст. 24 Конституции РФ предусмотрено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

§ 6. Некоторые данные о работнике носят конфиденциальный характер. На работодателе лежит обязанность сохранять эту конфиденциальность.

Нарушение режима защиты, обработки и порядка использования информации о гражданах юридическими и физическими лицами, владеющими в соответствии со своими полномочиями такой информацией, влечет ответственность в соответствии с законодательством РФ (см. п. 3 ст. 11 Федерального закона от 20 февраля 1995 г.; ст. 90 ТК).

§ 7. Работники вправе знакомиться со всеми своими персональными данными, имеющимися у работодателя, который обязан обеспечить им эту возможность.

В каких случаях необходимо проходить аттестацию и сертификацию?

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.

Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.

Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.

Меры по обеспечению безопасности ПДн

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:

  • Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
  • Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
  • Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
  • Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

  • предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
  • предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
  • клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.

Основные документы

  1. Уведомление об обработке ПДн (для Роскомнадзора).
  2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
  3. Согласие субъекта на обработку его персональных данных.
  4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
  5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
  6. Документы по организации приема и обработки обращений и запросов субъектов.
  7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

Внедрение системы защиты

К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.

  1. Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
  2. Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
  3. Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
  4. Разграничить права доступа к ПДн в ИС.

Технические средства защиты

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

  • средства защиты от несанкционированного доступа;
  • антивирусные программы;
  • межсетевые экраны;
  • криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России

Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.

Что это за документы?

К персональным данным относятся 2 типа документов: полученные при найме и относящиеся к деятельности сотрудника внутри организации.

Информация, полученная при найме работника, включает в себя:

  • ФИО.
  • Адрес проживания.
  • Дату рождения.
  • Семейное положение.
  • Документы об образовании, прохождении курсов повышения квалификации.
  • Паспортные данные.
  • Другие сведения, необходимые для трудоустройства.

Примеры сведений, связанных с работой в конкретной организации:

  • Документ о назначении на какую-то должность.
  • Заработная плата. Расчетные документы.
  • Любые внутренние приказы компании, относящиеся к сотруднику.

О том, что входит в понятие “Персональные данные сотрудника” мы более подробно рассказываем в этом материале.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Ответственность за разглашение персональных данных

Всем работающим на предприятии необходимо внимательно подходить к сохранности и обработке используемых ими сведений о коллегах

Важно, чтобы сотрудник знал, что ему предоставляется доступ к особо охраняемым данным, и принял на себя обязательство соблюдать требования по обращению с ними, в том числе о неразглашении персональной информации

Согласно ст. 90 ТК РФ, нарушение норм, регулирующих обработку и защиту персональных данных работника, влечет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.

Для работника существует опасность увольнения на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за такие нарушения, как разглашение коммерческой тайны, которая стала известна работнику при выполнении им трудовой функции, или разглашение конфиденциальной информации другого сотрудника.

Однако чтобы уволить по этой статье, работодателю придется доказать, что работник разгласил секретные данные (сообщил, переслал, передал, опубликовал и т. д.) либо допустил разглашение охраняемой им информации таким образом, что она стала известна третьим лицам. А также, что разглашенная информация является охраняемой в соответствии с законодательством РФ.

В КоАП введена отдельная статья о неразглашении персональных данных третьим лицам (13.14 КоАП РФ). Она предполагает наказание в виде штрафа для физических лиц — от 500 до 1000 рублей, а для должностных лиц — в размере от 4000 до 5000 рублей.

Проверяет, насколько эффективно организация и ее должностные лица «скрывают» личную информацию от посторонних, Роскомнадзор. Порядок осуществления плановых и внезапных ревизий прописаны в Постановлении Правительства от 13.02.2019 № 146. Объявление о грядущей проверке (копию приказа о назначении проверки) организации должны прислать минимум за 24 часа, если визит незапланированный, и за 3 дня, если проверка включена в план.

При проверках контролеры обращают внимание на наличие документации и ее корректность, выполнение требований в реальной жизни. Так, организации должны учитывать, что запрещено:

  • разглашать сведения о премии и заработной плате работников;
  • передавать личную информацию любым партнерам;
  • терять сведения или оставлять их без присмотра;
  • отказываться выдавать справки, связанные с трудовой деятельностью сотрудников.

Обязательство

Правовые документы

  • 27.07.2006 № 152-ФЗ
  • Постановление Правительства РФ от 15.09.2008 N 687
  • Статья 90 ТК РФ. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
  • Статья 90 ТК РФ. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
  • Статья 81 ТК РФ. Расторжение трудового договора по инициативе работодателя
  • Статья 13.14 КОАП РФ. Разглашение информации с ограниченным доступом
  • Постановление Правительства РФ от 13.02.2019 N 146

Защита персональных данных работника

Кроме ФЗ № 152 важнейшим юридическим документом в отношении соблюдения законности при использовании персональных данных является Трудовой кодекс РФ. Его 14-я глава регламентирует требования по защите персональных данных, а также ответственность при нарушениях, связанных с ПДн работника. В статье 86 ТК РФ указано, что работодатель наделен полномочиями по сбору материалов, которые находятся в плоскости этих трудовых отношений, он не может произвольно изымать и хранить данные, которые никак не относятся непосредственно к рабочему процессу. Также эта статья определяет требования, обеспечивающие права и свободы граждан, которые должен гарантировать работодатель во время обработки ПДн работника:

  • эти действия возможны только для целей, обеспечивающих содействие работнику при его трудоустройстве, прохождении обучения, продвижении по карьерной лестнице, выполнении мероприятий по обеспечению личной безопасности сотрудников предприятия, проведении контроля количества и качества его трудовой деятельности;
  • оператор должен соблюдать требования Конституции РФ, федерального законодательства во время установления количества и видов обрабатываемых ПДн;
  • все ПДн сотрудника нужно получать непосредственно от него. Если нет возможности личной передачи работником своих данных, допускается их получение от иной стороны, если сотрудник заранее оповещен о выполнении таких действий оператором, для этого нужно получить его согласие в письменном виде;
  • оператор обязан уведомить сотрудника о целях, вариантах получения его личных сведений и их источниках, а также о последствиях отказа сотрудника предоставить в письменном виде свое согласие на получение его ПДн;
  • оператор не имеет права на получение и обработку информации о сотруднике, которая относится к категории специальной в соответствии с законодательством РФ (раса, национальность, интимные данные, политические взгляды, религиозные взгляды и др.);
  • оператор также не может получать, выполнять обработку информации о работнике, о его принадлежности к общественным организациям, его профсоюзной работе;
  • принятие решений, связанных с интересами сотрудника, оператор не может брать за основу его персональные данные, которые были получены только по электронным каналам или с использованием автоматизированной обработки;
  • оператор обязан создать действенную защиту ПДн работника от незаконного применения, утраты. Для этого должны использоваться необходимые средства работодателя, а все действия выполняться в соответствии с требованиями ТК РФ и иных ФЗ;
  • оператор должен ознакомить сотрудника под роспись с документацией, определяющей порядок работы с ПДн;
  • оператор, работник, их законные представители совместно разрабатывают меры по защите ПДн работников.

Ответственность за нарушение

Статьи о неразглашении персональных данных, по которым нарушители могут привлекаться к ответственности, предусмотрены в различных федеральных законах. Подробнее об этом в таблице:

Виды ответственности за нарушение законодательства о персональных данных

№ п/п Вид ответственности Условия применения и/или санкция
1 Дисциплинарная (ст. 192 ТК РФ) Работодатель вправе применить следующие виды взысканий:

· замечание;

· выговор;

· увольнение

2 Материальная (ст. 232, 233 ТК РФ) Наступает, если в результате разглашения работником персональных данных работодателю причинен материальный ущерб, при условии что соглашением, заключенным между работником и работодателем, предусмотрено привлечение к такому виду ответственности
3 Гражданско-правовая (п. 2 ст. 24 закона «О персональных…» от 27.07.2006 № 152-ФЗ, ст. 151 ГК РФ) Возмещение морального вреда, причиненного потерпевшему лицу
4 Административная (ст. 13.14 КоАП РФ) Наложение административного штрафа в размере:

· от 500 руб. до 1 тыс. руб. — на граждан;

· 4–5 тыс. руб. — на должностных лиц

5 Уголовная (ст. 137 УК РФ) Возникает, если лицо, получившее доступ к персональным данным, распространило их в СМИ или в публичном информационном пространстве. Предусмотрены различные виды наказаний — от штрафа до реального лишения свободы
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector