Персональные данные работника: изменение законодательства в области персональных данных

Содержание

Персональные данные: изменения в законодательстве

Согласно Федеральному закону № 152-ФЗ от 27.06.2006, персональными данными считается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу».

Под это понятие подпадают практически все сведения, которыми оперирует работодатель: дата рождения работника, семейное положение, образование, домашний адрес и пр.

Эти данные хранятся в личных карточках, активно используются в трудовых договорах и контрактах, приказах, расчетных листках, платежных ведомостях, заявлениях и множестве иных документов.

Получать личные данные работодатель может только из первых рук, то есть от самого человека.

Если лично собрать информацию не удается, ее можно получить через третьих лиц, но с согласия самого сотрудника.

При этом ему следует разъяснить, с какой целью собирается информация, как она будет использоваться и что случится, если сотрудник откажется дать свое согласие на сбор и обработку сведений о себе.

Законодательство ограничивает перечень ситуаций, когда работодатель может собирать данные. В числе основных указаны:

сохранение жизни и здоровья подчиненных;
помощь в трудоустройстве и образовании;
содействие карьерному росту;
контроль за выполнением работником его трудовых функций;
охрана материальных ценностей;
соблюдение исполнения законов.

Ответственность за нарушения в работе с персональными данными

С 1 июля 2017 года ответственность за ошибки в этой сфере серьезно возрастет. Перечень нарушений, за которые работодатель может быть привлечен к ответственности, значительно расширен, а кроме того, увеличены размеры штрафов.

Такие изменения содержит Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Вместо одного вида административной ответственности, который предусматривала ст. 13.

11, в КоАП РФ теперь семь видов, и для каждого — свои штрафы:

Использование персональных данных в не предусмотренных законодательством целях. Административное наказание — предупреждение или штраф: для физических лиц от 1 000 до 3 000 руб., для должностных лиц — от 5 000 до 10 000 руб., для юридических лиц — от 30 000 до 50 000 руб.
Обработка личных сведений без согласия работника. Сюда же относятся случаи, когда в подписанном сотрудником согласии нет перечня сведений, предусмотренных в ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006. Административное наказание — штрафы: для физических лиц — от 3 000 до 5 000 руб., для должностных лиц — от 10 000 до 20 000 руб., для юридических лиц — от 15 000 до 75 000 руб.
Нарушение режима доступа к политике организации по обработке персональных данных. Работодатель обязан опубликовать в общедоступных источниках документ, в котором обозначена его политика в сфере защиты личной информации работников. Это предусмотрено п. 2 ст. 18.1 закона от № 152-ФЗ 27.07.2006, а с 1 июля будет отдельным правонарушением, которое влечет за собой ответственность в виде предупреждения или штрафов: для физических лиц — от 700 до 1 500 руб., для должностных лиц — от 3 000 до 6 000 руб., для ИП — от 5 000 до 10 000 руб. и для юридических лиц — от 15 000 до 30 000 руб.
Сокрытие от работника информации о целях, сроках и способах сбора, хранения и обработки информации, о третьих лицах, которые будут работать с личными сведениями по поручению работодателя, и пр. В таких случаях работодатель получает предупреждение или выплачивает штраф: физические лица — от 1 000 до 2 000 руб., должностные лица — от 4 000 до 6 000 руб., ИП — от 10 000 до 15 000 руб., юридические лица — от 20 000 до 40 000 руб.
Отказ работодателя заблокировать или уничтожить персональные данные согласно ст. 21 закона № 152-ФЗ от 27.07.2006. Административная ответственность — предупреждение или штраф: для физических лиц — от 1 000 до 2 000 руб., для должностных лиц — от 4 000 до 10 000 руб., для ИП — от 10 000 до 20 000 руб., для юридических лиц — от 25 000 до 45 000 руб.
Отсутствие средств автоматизации для хранения персональных данных, хранение информации только в бумажном виде. Если такой работодатель допустил уничтожение, утечку, несанкционированное копирование и/или распространение личных данных сотрудника, на него налагается штраф: на физических лиц — от 700 до 2 000 руб., на должностных лиц — от 4 000 до 10 000 руб., на ИП — от 10 000 до 20 000 руб., на юридическое лицо — от 25 000 до 50 000 руб.
Несоблюдение или нарушение процедуры обезличивания данных сотрудниками государственных и муниципальных органов власти (Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»). Административная ответственность в таком случае грозит должностному лицу в виде предупреждения или штрафа от 3 000 до 6 000 руб.

Законодательство позволяет суммировать штрафы за разные нарушения, поэтому ошибки или небрежное отношение к сведениям о сотрудниках могут обойтись работодателю очень дорого.

А кроме того, с 1 июля 2017 года возбуждать административные дела в части обращения с персональными данными разрешено без участия прокурора — инициировать их смогут должностные лица Роскомнадзора (п.

58 ч. 2 ст. 28.3 КоАП РФ).

Соблюдать требования законодательства поможет правильно составленное Положение о персональных данных, которое должно закрепить нормы законодательства и конкретизировать их для организации.

Как составить Положение о персональных данных

Закон не оговаривает название, структуру и обязательное содержание документа, работодатель вправе сам определить, как будет выглядеть Положение. Разрабатывая документ, руководитель организации и специалисты кадровой службы должны опираться на указанный выше Федеральный закон № 152-ФЗ, а также на ст. 87 Трудового кодекса РФ.

В Положении о персональных данных стоит отразить:

Общие положения: цели и задачи организации в области защиты персональных данных, круг вопросов, которые регулирует Положение.
Состав персональных данных: сведения, которые работодатель использует в рамках трудовых отношений с работником, перечень документов, в которых такие данные содержатся.
Порядок сбора и обработки информации, включая способы и места хранения, меры защиты от несанкционированного распространения. Помимо прочего, здесь обязательно прописывается требование получать сведения только у самого человека или с его письменного согласия у третьих лиц. Бланк согласия можно оформить как приложение к Положению.
Порядок передачи персональных данных как внутри организации, так и сторонним лицам и государственным органам. Здесь следует отразить законодательную норму передавать личную информацию о работнике третьим лицам только с его письменного согласия. Исключение — если это необходимо для защиты жизни и здоровья работника.
Перечень сотрудников, имеющих доступ к персональным данным. Чаще всего это специалисты кадровой службы, бухгалтеры, руководители структурных подразделений и пр.
Ответственность за разглашение личных данных сотрудников. В разделе стоит указать должности тех, кто несет ответственность за нарушение правил хранения, обработки и передачи персональных данных, а также виды ответственности, предусмотренные законодательством (об изменениях в этой сфере расскажем подробнее чуть ниже).

Положение о защите персональных данных работника и шаблон согласия утверждает руководитель организации. Штамп с подписью, датой утверждения и номером протокола ставится на титульном листе документа. Чтобы ввести Положение в действие, руководитель выпускает отдельный приказ.

С Положением о персональных данных должны быть ознакомлены все сотрудники под роспись. Для этого в организациях часто заводят отдельный журнал с перечнем работающих в компании сотрудников.

Согласие на обработку персональных данных

Это документ, в котором принимаемый на работу человек разрешает будущему работодателю получать необходимую информацию и использовать ее в рамках действующего законодательства.

Согласие на обработку персональных данных оформляйте в программе Контур-Персонал

Узнать больше

Работодатель не имеет права собирать и использовать личную информацию работников без их письменного согласия. Исключение — данные из медицинских учреждений, касающиеся противопоказаний к определенному роду деятельности.

Согласие должно включать в себя следующую информацию (ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006):

ФИО, адрес сотрудника, реквизиты паспорта (или другого удостоверяющего личность документа);
ФИО, адрес представителя сотрудника, реквизиты его паспорта (или другого удостоверяющего личность документа), реквизиты доверенности;
наименование или ФИО и адрес работодателя, получающего согласие носителя персональных данных;
перечень персональных данных, на обработку которых дается согласие;
цель обработки персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки этих сведений;
срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом.

Документ подписывается работником после знакомства с Положением. Такое же согласие необходимо оформить, если человек разрешает третьим лицам предоставлять информацию о себе.

Работодатель не имеет права принуждать потенциального сотрудника предоставлять о себе какие-либо сведения. Если претендент отказывается подписывать Согласие, организация может пересмотреть решение о приеме такого человека в штат. Отозвать свое согласие может и любой из работающих сотрудников организации (ч. 2 ст. 9 152-ФЗ).

После того как работодатель получил согласие работника на обработку личной информации, он может поручить это третьему лицу, однако ответственность за сохранность сведений все равно лежит на работодателе.

Сферы защиты персональных данных коснулись действительно масштабные изменения, и работодателю следует быть вдвойне внимательным как при составлении Положения, так и при работе с личной информацией по сотрудникам. Помните, чем подробнее и конкретнее прописано Положение о персональных данных, тем четче в организации будет выстроена работа на этом участке кадрового учета.

Источник: //kontur.ru/articles/4811

Изменения в законе о персональных данных

Персональные данные работника: изменение законодательства в области персональных данных

С 1 июля вступают в силу изменения в закон № 152-ФЗ «О персональных данных». Что было, что стало и что теперь делать владельцам сайтов – разбираемся далее.

Что было?

Операторов персональных данных

Из закона: “Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.”

То есть оператором персональных данных может быть частное лицо, индивидуальный предприниматель или организация, которая обрабатывает персональные данные. Например, через форму заявки на своем сайте собирает имя, фамилию, номер телефона или почту.

Штрафовали за неправильную обработку персональных данных

Из закона: “Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.”

То есть обработка персональных данных – это, например, собор номеров телефонов и адресов электронных почт в форме заявки на вашем лендинге.

Что будет?

С 1 июля 2017 году увеличивается размер штрафов. Оштрафуют за:

1

Обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных.

Например, взяли электронную почту для исполнения договора, а отправляем email-рассылки.

Сколько штраф?

До 3 000 рублей для физических лиц
До 50 000 рублей для юридических лиц

2

Обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Например, проведение онлайн-скоринга данных пользователя (IP, cookie и аккаунтов в социальных сетях) без согласия на обработку персональных данных.

Сколько штраф?

До 5 000 рублей для физических лиц
До 75 000 рублей для юридических лиц

3

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

Например, на сайте не размещена политика конфиденциальности.

Сколько штраф?

До 1 500 рублей для физических лиц
До 30 000 рублей для юридических лиц

4

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Например, посетитель сайта спрашивает об обработке и защите его персональных данных, а ему не отвечают.

Сколько штраф?

До 2 000 рублей для физических лиц
До 40 000 рублей для юридических лиц

5

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

Например, посетитель сайта просит удалить его персональные данные, но этого не происходит.

Сколько штраф?

До 2 000 рублей для физических лиц
До 40 000 рублей для юридических лиц

6

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

Например, нет списка лиц допущенных к обработке персональных данных.

Сколько штраф?

До 2 000 рублей для физических лиц
До 50 000 рублей для юридических лиц

Полная информация о штрафах за неправильную обработку персональных данных в статье 13.11 Кодекса об административных правонарушениях.

Что делать?

Требований к владельцам сайтов большой список.

То, что нужно сделать в первую очередь:

Убедиться, что серверы, на которых хранится информация, размещены на территории России.

Все лендинги, размещенные на доменах Платформы LP хранятся на российских серверах. Адрес дата-центра: Москва, ул. Берзарина, д. 36, стр. 3.

Утвердить политику конфиденциальности – политику в отношении обработки персональных данных, и разместить её на сайте – обычно ссылку на документ дают в футере. А также указать почту, куда посетитель может задать вопрос о персональных данных, и обратиться, если хочет удалить или заблокировать свои персональные данные.

Политика конфиденциальности Платформы LP

Под каждой формой на лендинге, где пользователь оставляет свои данные, разместить текст о согласии пользователя на обработку его персональных данных со ссылкой на документ. Согласие можно оформить как отдельный документ – список обязательных пунктов в ч.4 ст. 9 закона 152-ФЗ «О персональных данных»

О том, как разместить согласие на обработку персональных данных в форме Платформы

Если вы собираете метаданные пользователей (cookie, данные об IP-адресе и местоположении), предупреждайте пользователей о том, что вы делаете это в целях поддержания функционирования сайта. Предупреждение должно содержать следующую пометку: если пользователь не хочет, чтобы его данные обрабатывались, он должен покинуть сайт.
Подать уведомление на сайте Роскомнадзора и внести организацию в реестр операторов персональных данных. Форма уведомления здесь. Список тех, кому можно не подавать заявку в 22 статье закона № 152-ФЗ «О персональных данных»

Полный список требований в тексте закона № 152-ФЗ «О персональных данных»

Источник: //platformalp.ru/blog/zakon-izmeneniyah-personalnyh-dannih/

Персональные данные работника: миллионные штрафы за утечку

Персональные данные работника: изменение законодательства в области персональных данных

Депутаты одобрили поправки, предусматривающие введение новых санкций за нарушение закона № 152-ФЗ о персональной информации граждан. Законопроектом предложены следующие штрафы:

За невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ, граждан планируется штрафовать на 30 000-50 000 рублей, должностных лиц — на сумму 200 000-500 000 рублей, ИП и юридических лиц — от 2 до 6 млн рублей. При повторном нарушении штрафы на граждан увеличиваются до 50 000-100 000 рублей, на должностных лиц — до 0,5-1 млн рублей, а ИП и организации обещают наказывать на 6-18 млн рублей.
За повторные нарушения, предусмотренные ст. 13.31 КоАП РФ (неисполнение обязанностей организаторов распространения информации в сети Интернет), предложены штрафы для граждан — от 5000 до 30 000 рублей (в зависимости от правонарушения), для должностных лиц — от 50 000 до 500 000 рублей, для ИП и организаций — от 0,5 до 6 млн рублей.
Отдельные санкции вводятся для операторов поисковых систем, организаторов сервисов обмена мгновенными сообщениями, владельцев аудиовизуального сервиса информации.

Все новые штрафы подробно описаны в таблице.

Правонарушение	Штрафы (рублей)	Статья КоАП РФ, которая изменится
для граждан	для должностных лиц	для ИП и организаций
Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ	30 000-50 000	200 000-500 000	2-6 млн	13.11
Повторное невыполнение обязанности по хранению персональных данных в РФ	50 000-100 000	500 000-1 млн	6-18 млн	13.11
Повторное неисполнение обязанностей организатором распространения информации в сети Интернет	От 5000 до 30 000 (в зависимости от правонарушения)	От 50 000 до 500 000 (в зависимости от правонарушения)	От 500 000 до 6 млн (в зависимости от правонарушения)	13.31
Повторное распространение владельцем аудиовизуального сервиса телеканала, телепрограммы, не зарегистрированных в качестве СМИ либо зарегистрированных, но лишенных права на вещание	10 000-20 000	100 000-200 000	700 000-1 млн	13.35
Повторное нарушение владельцем аудиовизуального сервиса правил распространения среди детей информации, причиняющей вред их здоровью и(или) развитию	5000-10 000	50 000-100 000	500 000-1 млн	13.36
Повторное распространение владельцем аудиовизуального сервиса информации и материалов, содержащих призывы к осуществлению террористической и(или) экстремистской деятельности	150 000-300 000	600 000-800 000	От 1,5 до 5 млн	13.37
Повторное неисполнение организатором сервиса обмена мгновенными сообщениями обязанностей	5000-10 000	50 000-70 000	1-2 млн	13.39
Повторное неисполнение оператором поисковой системы обязанности по подключению к информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ	30 000-100 000	100 000-500 000	1,5-5 млн	13.40
Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о информационно-телекоммуникационных сетях, доступ к которым ограничен на территории РФ	30 000-100 000	100 000-500 000	1,5-5 млн	13.40
Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о доменном имени и об указателях страниц сайтов в сети Интернет, доступ к которым ограничен на основании решения Московского городского суда, или копий заблокированных сайтов	30 000-100 000	100 000-500 000	1,5-3 млн	13.40

Скачать

Объясняя необходимость введения новых санкций, авторы в пояснительной записке к законопроекту пишут, что только штрафы способны остановить нарушителей. Они налагают не только финансовые, но и репутационные издержки, потому являются наиболее эффективной мерой воздействия.

Законопроект пока еще обсуждается, но авторы уверены, что новые санкции заработают уже в начале 2020 года.

С какими персональными данными приходится иметь дело работодателю

Что относится к персональным данным работника организации? В соответствии со ст. 3 закона № 152-ФЗ, персональные данные работника — это любые сведения о нем.

Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

фамилия, имя, отчество, дата и место рождения;
образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
выполняемая работа с начала трудовой деятельности (включая военную службу);
адрес регистрации и фактического проживания;
паспортные данные (серия, номер, кем и когда выдан);
номер телефона, адрес электронной почты;
отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
ИНН;
номер страхового свидетельства обязательного пенсионного страхования;
результаты обязательного медосмотра при поступлении на работу;
семейное положение, Ф.И.О. и даты рождения детей.

Также определенная информация содержится в резюме соискателя и его анкете.

В процессе работы эти данные изменяются и дополняются. Работодатель обязан хранить их в секрете. Эта мера обеспечивается определением конкретных лиц, которые имеют к ним доступ. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

Образец приказа о персональных данных работников 2019

Скачать

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

При проверке соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании этого предписания Роскомнадзора незаконным.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013).

Образец заявления на обработку персональных данных работника

Источник: //clubtk.ru/personalnyye-dannyye-rabotnika

Что относится к персональным данным работника

Персональные данные работника: изменение законодательства в области персональных данных

Что входит в понятие персональные данные сотрудника? Как работодатель должен их хранить и защищать? Что будет, если допустить утечку? Все это — очень важные вопросы, в которых надо ориентироваться и руководителям, и специалистам кадровых служб. Читайте статью, скачайте образцы необходимых документов

Вопросы, связанные с персональными данными работников, регламентирует Федеральный закон №152 от 27.06.2006. Его цель — защитить права на защищенность частной жизни, сохранение тайн личности и семьи.

Статья 3 этого закона содержит основные определения. В частности, о персональных данных (ПД) сказано, что это информация, которая имеет отношение к физическому лицу. То есть, сведения, по которым человека можно однозначно идентифицировать, а также те, которые относятся к нему косвенно.

Четко очерченного законом списка таких сведений нет. К базовому набору относятся:

фамилия, имя, отчество;
дата рождения;
семейный статус и состав семьи;
данные об имуществе;
информация об образовании;
профессия и трудоустройство;
данные о доходах.

Этот список может меняться, в зависимости от того, в какой области применяются данные о человеке. Например, если речь идет о трудоустройстве, персональные данные работника — это информация, необходимая работодателю: общий стаж, прошлые места работы, прохождение военной службы, особые знания и допуски, сведения о здоровье.

Закон требует, чтобы лица, которые получают доступ к ПД, сохраняли их конфиденциальность. То есть не допускали попадания в третьи руки без согласия обладателя этих данных, кроме случаев, отдельно предусмотренных законодательством. Об этом сказано в 7-й статье ФЗ №152.

Информацию о работнике работодатель может получить из:

удостоверения личности (например, паспорт, военный билет, загранпаспорт); военного билета;
трудовой книжки;
номера индивидуальной страховки (СНИЛС);
водительских прав;
аттестата об образовании;
медицинской книжки.

Согласно статье 86 Трудового Кодекса, работодатель обязан обеспечить защиту и неприкосновенность сведений о сотрудниках.

Обработка персональных данных

Закон №152 определяет обработку ПД как действие или систему действий, которые предпринимаются в отношении личной информации. Операции могут быть совершены как с применением автоматизированных средств, так и без них.

В списке основных действий: сбор, систематизация, хранение, обновление или изменение, передача, предоставление доступа, блокировка, обезличивание, уничтожение.

Большинство этих действий описаны в статье 3 закона «О персональных данных», а в статье 5 описаны принципы обработки ПД.

При трудоустройстве обработка личных данных происходит на самых разных этапах: при собеседовании и зачислении в штат, при заключении договора, в результате карьерного роста и других видах трудового взаимодействия. Работодатель при этом выступает в роли оператора — юридического лица, которое проводит обработку персданных.

► Пять действий с персональными данными, о которых до сих пор забывают кадровики и попадают на штраф

Статья 87 ТК России предоставляет работодателям самостоятельное право устанавливать порядок использования и хранения личных данных работников, при условии, что соблюдены Трудовой Кодекс и федеральное законодательство. В частности, следует выполнять нормативы статьи 86 Трудового Кодекса. Вот основные:

Для обработки персданных нужны основания и цель.
Передачу персданных производит сам их обладатель.
Нельзя сообщать личные данные сотрудника третьим лицам без его письменного согласия.

Для выполнения этих требований, следует зафиксировать во внутренних актах компании Правила защиты персональной информации сотрудников. Работников следует ознакомить с этими правилами под роспись и получить от каждого согласие на обработку. Чтобы подойти во всеоружии к возможным проверкам, следует подготовить:

Положение о политике компании в отношении обработки персональных данных.
Подписанные согласия работников на обработку их личной информации.
Приказ о назначении лиц, которые в вашей организации ответственны за работу с ПД.

Скачать образец >>>

Цели обработки определены в 1-й части статьи 86 ТК. Вкратце, их можно описать так:

Обеспечить законодательные требования.
Помочь сотрудникам получить образование, трудоустроиться или развить карьеру.
Гарантировать им личную безопасность.

В числе принципов обработки:

Она возможна, только если цели заранее определены и законны.
Объем и суть должны соответствовать обозначенным целям.
Обязательно соблюдение точности, достаточности и актуальности, соотносительно с целями.
Хранение в форме, позволяющей определить обладателя ПД, допустимо только на тот срок, который определен целями обработки.

Проще говоря, работодатель может обрабатывать ПД сотрудников только в том объеме, который требуется в рамках служебного взаимодействия.

Виды персональных данных

Порядок обработки и получения согласия может отличаться, в зависимости от категории персданных. Различают 4 основных:

Первая. Сведения о принадлежности к той или иной расе, о политических взглядах, здоровье.
Вторая. Сведения, при помощи которых можно получить больше информации о человеке. К ним относятся, например, место прежней работы, данные о членах семьи, телефонный номер.
Третья. Идентифицирующая информация, например, паспортная.
Четвертая. Общедоступные сведения. Например, образование и опыт: специальность, квалификация.

► Как получить и передать персональные данные и не нарушить закон

Использование персональных данных работника работодателем

Согласно Трудовому Кодексу (ст. 87), работодатель может сам устанавливать порядок обработки, хранения и использования личных данных своих сотрудников. Но установить этот порядок, прописать его в локальных актах и соблюдать — обязательно. Отсутствие Положения о персданных может повлечь штраф, согласно статье 13.11 КоАП.

Вот ключевые моменты, на которые надо обращать внимание при хранении и использовании ПД:

Информация о сотруднике, а также вся связанная с этим документация, хранятся в личном деле.
Если в процессе использования персданных необходимо передать их третьим лицам (обязательно согласие субъекта), следует уведомить тех, что сведения можно использовать только в тех целях, для которых они получены.
Внутри организации передавать данные можно только по правилам, установленным локальным актом, с которым работники ознакомлены под роспись.
Доступ к такой информации имеют только работники, чьи полномочия утверждены соответствующим приказом.
Нельзя требовать от сотрудника сведений о здоровье, кроме тех случаев, когда это необходимо, чтобы выяснить, может ли человек выполнять служебные функции.

Все правила передачи персданных описаны в статье 88 Трудового Кодекса.

Сотрудник вправе получить информацию о том, как используются его личные данные. Например, он может запросить отчет о том, кому и в каком объеме переданы сведения о нем. И работодатель должен такой отчет предоставить. Также следует обеспечить каждому сотруднику свободный доступ к его личному делу.

Личные дела подлежат хранению и после того, как человек уволится. Это прописано в Перечне типовых документов Росархива. Срок хранения дел рядовых сотрудников — 75 лет, а папки руководителей и менеджеров высшего звена сохраняются навсегда.

Ответственность работодателя

Как уж было сказано, отсутствие Положения о персональных данных — это нарушение, за которое могут оштрафовать. Но это далеко не единственная ответственность работодателя в этом случае. Трудовое законодательство защищает личность сотрудников, за нарушение принципов работы с персданными предусмотрена ответственность:

Дисциплинарная. Самая строгая мера, увольнение, может последовать только за нарушение конфиденциальности. Для других проступков мерой может быть избрано замечание или выговор.
Административная. Это могут быть предупреждения или штрафы за отсутствие предусмотренных законодательством документов (Положения, приказов об ответственных лицах).
Материальная. Ее несут работники, которые уполномочены обрабатывать ПД. Например, сотрудник, сведения о котором без его согласия стали доступны третьим лицам, может потребовать компенсацию морального ущерба.
Уголовная. Предусмотрена статьей 137 УК России и также за разглашение персданных. Мерой наказания может быть избран штраф до 200 000 рублей, исправительные работы до 180 часов или заключение на срок до 4 месяцев.

Источник: //www.pro-personal.ru/article/1097428-17-m6-personalnye-dannye-rabotnika

Персональные данные работника: изменение законодательства в области персональных данных

В 2017 году значительно выросли штрафы за за нарушения при обработке персональных данных работника.

В первой статье настоящего цикла мы определили, какая информация о работнике относится к персональным данным, а также рассмотрели обязанности, которые законодатель возлагает на работодателя при работе с ними.

В статье, которую мы предлагаем вашему вниманию в этом выпуске, будет рассмотрен вопрос, связанный с изменениями в законодательстве о персональных данных. Также мы поговорим о том, как минимизировать риски работодателя с учетом таких изменений.

Изменение законодательства в области персональных данных

В 2017 году в законодательстве России о персональных данных произошли серьезные изменения, которые затронули вопрос ответственности работодателя за нарушения при обработке персональных данных работника. До 1 июля 2017 года в соответствии с положениями статьи 13.

11 Кодекса об административных правонарушениях РФ за нарушения, допущенные при сборе, хранении, использовании или распространении персональных данных, государство наказывало виновных предупреждением или наложением административного штрафа.

Для граждан сумма санкций ограничивалась размером от 300 до 500 рублей; для должностных лиц – от 500 до 1 000 рублей; для юридических лиц – от 5 000 до 10 000 рублей.

Такой незначительный размер штрафов часто влек за собой безответственное отношение работодателей как к соблюдению Закона о персональных данных, так и к организации защиты персональных данных своих работников.

Как изменился размер штрафов за нарушения при обработке персональных данных

С 1 июля 2017 года ситуация радикально поменялась: во-первых, число составов административных правонарушений выросло с одного до семи, во-вторых, ужесточилась ответственность за нарушение законодательства РФ в области персональных данных и теперь такое нарушение может обернуться для работодателя предупреждением или наложением административного штрафа в размере от 30 000 до 75 000 рублей. Максимальный штраф (75 000 рублей) грозит работодателю за обработку персональных данных без письменного согласия работника в том случае, если получение такого согласия работодателем прямо предусмотрено Законом о персональных данных. На такую же сумму могут оштрафовать, если при обработке персональных данных работодатель нарушит требования к составу сведений, которые включаются в письменное согласие.

Позитивным изменением для работодателя стало то, что теперь работодатель несет ответственность только в том случае, если несоблюдение им режима конфиденциальности персональных данных работника повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, то есть если наступили вредные последствия. Одного факта неисполнения требований законодательства в данном случае недостаточно.

Другие виды ответственности для работодателя

Рассматривая ответственность за нарушение законодательства в области персональных данных, целесообразно упомянуть, что, помимо административной ответственности, несоблюдение работодателем требований закона о защите персональных данных работников может повлечь для работодателя (его должностных лиц) и иные виды ответственности.

Так, в частности, работник, права которого нарушены, вправе претендовать в суде на возмещение убытков и (или) компенсацию морального вреда, что может привести к финансовым потерям для работодателя.

Не следует забывать и о том, что несоблюдение положений Закона о персональных данных в определенных случаях может быть признано составом преступления, влекущим уголовную ответственность. Например, нарушением неприкосновенности частной жизни (статья 137 Уголовного кодекса РФ).

Какие меры, направленные на защиту персональных данных работников, нужно соблюдать работодателю

Чтобы минимизировать риски привлечения к ответственности за нарушение законодательства в области персональных данных, работодателю необходимо разработать и строго соблюдать комплекс мер, направленных на защиту персональных данных работников. К таким мерам, в частности, относятся:

Получение согласия работника на обработку его персональных данных в случаях, когда обработка персональных данных допускается только с согласия работника;
издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
назначение лица, ответственного за организацию обработки персональных данных;
обеспечение безопасности информационных систем и необходимого уровня защищенности персональных данных.

Таким образом, обработка персональных данных работника на законной и справедливой основе и принятие мер, необходимых для сохранности и обеспечения конфиденциальности персональных данных, являются важной обязанностью работодателя в его взаимоотношениях с работником.

Недавнее ужесточение ответственности за нарушения в области персональных данных свидетельствует о том, что государство обратило пристальное внимание на соблюдение работодателями, обрабатывающими персональные данные, прав своих работников – субъектов персональных данных, в связи с чем работодателям рекомендуется проверить, соответствуют ли процедуры, принятые в их компаниях в отношении обработки персональных данных работников, установленным законодательством требованиям. И если нет – работодателям стоит срочно исправить ситуацию и привести свои локальные нормативные акты в соответствие с требованиями законодательства России о персональных данных. Иначе ответственности не избежать.

Источник: //www.tspor.ru/article/2344-personalnye-dannye-rabotnika