Как не нарушить закон о персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как не нарушить закон о персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

• цели получения персональных данных работника у третьих лиц;
• предполагаемые источники информации (лица, у которых будете запрашивать данные);
• способы получения данных, их характер;
• возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• — на граждан — от 500 до 1 000 руб.;
• — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
• — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
• — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

1. паспорт гражданина РФ (или иной документ для подтверждения личности);
2. трудовую книжку;
3. ИНН и СНИЛС;
4. диплом об образовании или квалификации;
5. документы о воинской обязанности.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Защита персональной информации, полученной из анкет

Зачастую работодатели используют анкеты как инструмент первичного отбора кандидатов. В этой ситуации также надо помнить про защиту персональной информации соискателя. Необходимо обратить внимание на такие моменты:

• любая такая анкета должна включать сведения о сроке ее рассмотрения;
• нужно четко указать цель обработки персональной информации, которая получена через анкетирование. Цель должна обозначаться через указание конкретных действий и сроков их осуществления;
• в анкете должен быть пункт, в котором соискатель указывает, что он согласен на обработку персональной информации;
• у анкеты не должно быть технической возможности объединить поля для внесений информации, цели обработки которой изначально не совместимы.

Бизнес: • Банки • Богатство и благосостояние • Коррупция • (Преступность) • Маркетинг • Менеджмент • Инвестиции • Ценные бумаги: • Управление • Открытые акционерные общества • Проекты • Документы • Ценные бумаги — контроль • Ценные бумаги — оценки • Облигации • Долги • Валюта • Недвижимость • (Аренда) • Профессии • Работа • Торговля • Услуги • Финансы • Страхование • Бюджет • Финансовые услуги • Кредиты • Компании • Государственные предприятия • Экономика • Макроэкономика • Микроэкономика • Налоги • Аудит
Промышленность: • Металлургия • Нефть • Сельское хозяйство • Энергетика
Строительство • Архитектура • Интерьер • Полы и перекрытия • Процесс строительства • Строительные материалы • Теплоизоляция • Экстерьер • Организация и управление производством

Меры дисциплинарной ответственности

Дисциплинарная ответственность представляет собой особый вид наказания, который может быть применен работодателем по отношению к своим подчиненным. Если говорить о таком нарушении, как распространение личных сведений, данный вид ответственности может быть применен по отношению к виновному сотруднику. Например, очень часто речь идет о работниках отдела кадров. Как известно, именно они получают доступ к личным сведениям сотрудников. Им сдаются трудовые книжки новых подчиненных, копии их паспортов, ИНН и т.д. Следовательно, работник отдела кадров всегда должен надлежащим образом относиться к сохранению данной информации и не допускать ее распространения за пределы организации.

Если же вышеуказанное обязательство не было выполнено подчиненным, значит, у работодателя появится законное право на применение надлежащих мер ответственности. Положения трудового законодательства устанавливают лишь три разновидности:

1. Замечание. Его можно назвать наименее строгой мерой. Очень часто оно применяется в том случае, если нарушение было совершено подчиненным в первый раз. В подобной ситуации с сотрудником может быть проведена подробная беседа для исключения повторения таких неприятных случаев в будущем.
2. Выговор. Он является более серьезной мерой ответственности. Работодатель может выбрать ее в том случае, если за сотрудником подобное нарушение фиксируется уже во второй раз. Сведения о вынесении данной меры ответственности могут быть занесены в личное дело подчиненного.
3. Увольнение. Именно эту меру ответственности можно назвать максимально серьезным дисциплинарным наказанием со стороны работодателя. Она выражается в принятии директором одностороннего решения относительно увольнения подчиненного. Оно может быть принято только при наличии у директора всех неоспоримых доказательств вины конкретного служащего.

Меры материальной ответственности

В случае незаконного распространения директором личных сведений собственных подчиненных, в его отношении может быть установлена материальная ответственность. В подобной ситуации на директора могут быть возложены следующие виды компенсаций:

• выплата денежной компенсации за причиненный сотруднику материальный ущерб. Точный размер такой выплаты всегда определяется в индивидуальном порядке. Окончательная сумма будет зависеть от различных факторов, например, от степени серьезности совершенного работодателем нарушения, от ущерба, который был причинен служащему и т.д.;
• выплата дополнительной денежной компенсации за причиненный подчиненному моральный ущерб. Данный вид ущерба представляет собой оплату психологических страданий, которые стали следствием допущенных другой стороной нарушений. Размер такой компенсации также рассчитывается индивидуально. Важным нюансом здесь будет являться тот факт, что получить такую выплату заявитель сможет лишь в судебном порядке. В иске им может быть указана абсолютно любая сумма морального вреда. Суд, в свою очередь, вправе удовлетворить выплату этой суммы полностью либо только частично.

Хранение и использование персональных данных

Согласно ст. 87 ТК РФ работодатель должен установить порядок хранения и использования персональных данных работников. Соответствующие нормы могут быть включены в локальный акт организации о персональных данных. При этом они должны отвечать требованиям, установленным ТК РФ и иными федеральными законами.

Основные документы, содержащие персональные данные работника, объединяются, как правило, в его личное дело. Порядок ведения и хранения личного дела устанавливается работодателем. Вместе с тем сроки хранения документов, содержащих персональные данные работника, определяются в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой России 6 октября 2000 г., в ред. Решения от 27 октября 2003 г.). Так, личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно. Личные дела остальных работников хранятся в течение 75 лет.

Главным документом о трудовой деятельности и трудовом стаже работника, содержащим и его персональные данные, является трудовая книжка. Порядок хранения трудовых книжек устанавливают Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225). Согласно п. 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Для этого приказом (распоряжением) работодателя назначается специально уполномоченное лицо.

Согласие на обработку

Законодатель предусматривает, что получение информации осуществляется при согласии человека. Выражается оно в письменной форме. Заполняется документ сотрудников собственноручно. Когда другой человек представляет сведения – необходимо получить согласие от работника.

В законе отражено, что согласие должно быть сознательными и информированным. Дает его человек, о котором предоставляется информация или его представитель. Исключения могут быть отражены в законах. Закон не говорит, что согласие выражается в письменной форме. Такие правила установлены в статье 13.11 КоАП.

Исходя из этой нормы указывают, что в ситуациях, отраженных в законе, получение согласия происходит в письменной форме. Оно необходимо для того, чтобы в возможной спорной ситуации доказать получение сведений на законных основаниях. Письменный документ поможет доказать правоту.

Административные штрафы

В КоАП отражена ответственность за нарушения, связанные с персональными данными. Когда человеку неправомерно отказали в предоставлении информации или передали сведения с нарушением сроков – виновные привлекаются к ответу. Эти же правила установлены, если сведения не переданы организации. Когда полученная информация не соответствует действительности – штрафная санкция составляет от пяти до десяти тысяч рублей. Это установлено для должностных лиц.

Если информация обрабатывалась в случаях, не предусмотренных в законе, или ненадлежащим образом – размер штрафа зависит от того, кем совершено нарушение. Если это совершил гражданин – оштрафуют на сумму от тысячи до трех тысяч рублей. Для должностного лица штраф возрастает — от пяти до десяти тысяч, и для организации — от 30 до 50 тысяч рублей.

Когда не получено согласие на обработку, при условии необходимости этого акта – граждане отвечают в пределах от трех до пяти тысяч рублей. Для должностного лица сумма равно от 10 до 20 тысяч, для фирмы от 15 до 75.

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

• управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
• работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

• сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

• штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

• штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

• сбор;
• фиксация;
• систематизация;
• накопление;
• сбережение;
• защита;
• передача;
• использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
3. Выбирать способы обработки нужно в соответствии с заявленными целями.
4. Все требования касаются только полных и достоверных персональных данных.
5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Похожие записи:

• Способы оплаты налогов физ лиц
• Что делать виновнику ДТП без ОСАГО
• Со скольки лет можно продавать водку в 2024 России по закону