Club
Какие НПА регламентируют работу с персональными данными
Работодатели постоянно сталкиваются с персональными данными (ПД) сотрудников, начиная с момента трудоустройства, заканчивая подачей отчетности в госорганы и полным расчетом при увольнении. И даже после того, как договоры с работниками расторгнуты, организации и ИП хранят документы, содержащие ПД физлиц. Потому и компаниям, и индивидуальным предпринимателям, и уполномоченным работникам, имеющим доступ к персональным сведениям коллег, надо четко понимать, какие нормы им следует соблюдать, и где они зафиксированы.
Два основных законодательных акта, в которых описаны правила работы с личной информацией сотрудников, — Трудовой кодекс и закон № 152-ФЗ от 27.07.2006 о ПД. В дополнение имеются множество подзаконных актов, разъяснений и писем Роскомнадзора, Роструда и иных госорганов.
Основные обязанности, за несоблюдение которых штрафа Роскомнадзора не избежать:
- обеспечение надежной защиты и хранения персональных данных;
- обработка личных сведений только в целях, оговоренных законом, или тех, на которые согласился сам работник;
- передача данных третьим сторонам и получение информации от них только с согласия сотрудника.
Эксперты КонсультантПлюс разобрали, какие меры по защите персональных данных работников должны предприниматься при обработке этих данных. Используйте эти инструкции бесплатно.
Ответственность за несоблюдение правил защиты персональных данных
В КоАП РФ есть специальная статья 13.11, описывающая, какой штраф за персональные данные и кому придется заплатить в случае нарушения. Сразу обращаем внимание, что закон позволяет наказывать виновных по каждому нарушению, причем привлекают к ответственности одновременно и работодателя, и должностного сотрудника.
Для удобства собрали все штрафы по КоАП РФ в таблицу.
|
Вид правонарушения |
Пример нарушения работы с персональными данными |
Размеры штрафов для разных категорий виновных, руб. |
Размеры санкций за повторное нарушение, руб. |
|---|---|---|---|
|
Незаконная обработка персональных данных либо обработка в целях, не согласующихся с целями сбора |
Работодатель собирает, а затем передает сторонним компаниям данные об имуществе работника или его родственников |
|
|
|
Обработка ПД без согласия работника либо с нарушением запретов, установленных сотрудником в таком согласии |
Организация без соответствующего разрешения опубликовала на сайте сведения о месте рождения и вероисповедании работника |
|
|
|
Отказ предоставить открытый доступ к политике обработки ПД или сведениям о реализуемых мерах по их защите |
Работодатель не опубликовал на корпоративном сайте политику обработки ПД, не ознакомил сотрудников с положением о ПД |
|
– |
|
Отказ предоставить работнику сведения, касающиеся обработки его ПД |
Компания не предоставляет работнику по его заявлению копии документов, содержащие его ПД |
|
– |
|
Отказ уточнить, заблокировать или удалить ПД по требованию работника (его представителя) |
По вине работодателя на корпоративном портале опубликованы недостоверные сведения о работнике, но исправлять ошибку или удалять ее работодатель не хочет |
|
|
|
Необеспечение сохранности ПД при отсутствии средств автоматизации |
Работодатель хранит документы с личной информацией персонала в обычном шкафу, а не в запирающемся сейфе |
|
– |
|
Использование баз данных для записи, систематизации, накопления, хранения и иных манипуляций с ПД, расположенных за пределами РФ |
Используются базы данных, размещенные в США |
|
|
Для граждан и должностных работников ст. 13.14 КоАП РФ предусмотрено наказание за разглашение ПД, полученных при исполнении служебных обязанностей. Размеры штрафов: до 1000 рублей — для граждан и до 5000 — для уполномоченных работников.
Помимо штрафов по кодексу, за нарушение норм о персональных данных сотрудника, уполномоченного на их обработку, работодатель вправе привлечь к дисциплинарной и материальной ответственности. В отдельных случаях такому сотруднику грозит уголовная ответственность по ст. 137 УК РФ (за незаконный сбор, распространение сведений, составляющих тайну физлица).
Если гражданину, чьи права на защиту персональных данных нарушены, причинен моральный вред, он вправе обратиться в суд с просьбой привлечь нарушителей (и работодателя, и уполномоченного работника) к гражданско-правовой ответственности по ст. 151 и ст. 152 ГК РФ.
Обсудить в чате Telegram