Ответственность за персональные данные работника

Сегодня мы раскроем тему: "Ответственность за персональные данные работника", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Глава 14. Защита персональных данных работника (ст.ст. 85 — 90)

Глава 14. Защита персональных данных работника

ГАРАНТ:

О персональных данных см. Федеральный закон от 27 июля 2006 г. N 152-ФЗ

>
(утратила силу)
Содержание
Трудовой кодекс (ТК РФ)

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/12125268/5feb00d2dd696fcf8716c5ce9eeff685/

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Читайте так же:  Сопроводительное письмо на возражение на иск

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Источник: http://www.garant.ru/actual/persona/otvetstvennost/

Оформляем образец обязательства о неразглашении персональных данных работников

На уровне документов взаимоотношения субъекта и оператора выглядят так: субъект дает согласие на обработку персональных данных, а оператор принимает на себя обязательство о неразглашении. Данная схема распространяется и на трудовые отношения, в которых субъектом выступает работник, а оператором — работодатель.

Для чего нужен и когда пишется

Документ предназначен для того, чтобы работодатель мог обозначить ответственность и при выявлении нарушений привлечь к ней работников, которые имеют доступ к личным сведениям коллег. Количество людей, в чьи обязанности входит обработка и неразглашение персональных данных, может различаться. Если в малых организациях все ограничивается лишь главным бухгалтером, то в средних и крупных компаниях сотрудники, работающие с личной информацией, числятся в структурных подразделениях:

  • бухгалтерия;
  • отдел персонала;
  • отдел информационных технологий;
  • отдел продаж или отдел обслуживания (если речь идет об информации о клиентах).

Список может быть расширен в зависимости от специфики и структуры организации. Таким образом, в пакет типовых кадровых документов работодателя должна входить форма обязательства о неразглашении персональных данных. Оптимальный срок для подписания этого документа ответственными лицами — в момент приема на работу.

Что по этому поводу говорит закон

Статья о неразглашении персональных данных третьим лицам (ст. 7) содержится в Федеральном законе от 27.06.2006 № 152-ФЗ. Однако просто существование закона «О защите персональных данных» еще не дает права работодателю по умолчанию накладывать ответственность на сотрудников, имеющих доступ к личным сведениям. Необходимость оформления обязательства о неразглашении информации продиктована Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В соответствии с пунктом 6 Постановления, «лица, осуществляющие обработку … данных … должны быть проинформированы о факте обработки ими персональных данных, … а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами…». Кроме того, обязательной к исполнению мерой по защите личной информации является назначение приказом лиц, ответственных за обработку (ч. 1 ст. 22.1 закона № 152-ФЗ).

Образец обязательства о неразглашении персональных данных работников

Образец приказа о неразглашении персональных данных

Соглашение о неразглашении персональных данных (образец 2020 года)

Кроме обязательства о неразглашении, работодатель, в соответствии со статьей 8 ТК РФ , может заключать с профильным персоналом соглашение о неразглашении персональных данных работников, образец которого отличается от простого обязательства тем, что в нем указаны обе стороны процесса — как работодатель, так и сотрудник.

Образец соглашения о нераспространении персональных данных

Необходимость такого соглашения обусловлена требованиями, изложенными в пункте 7 статьи 86 ТК РФ , — на администрацию возложена обязанность по защите личных данных сотрудников от незаконного использования, утраты или доступа к ним третьих лиц. Следовательно, сотрудники, которые имеют доступ к банку данных других работников, обязаны хранить эти сведения в секрете. А поскольку эта информация известна в связи с выполнением ими трудовых обязанностей, то работодатель, в соответствии со статьей 8 ТК РФ , имеет право заключить с такими работниками соглашение о неразглашении.

При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с их работой и они обязались не разглашать такие сведения (пункт 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2). Именно поэтому работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к личным данным других работников, соответствующий юридически значимый документ.

Ответственность за нарушение

Ст. 24 Федерального закона № 152-ФЗ гласит, что нарушение правил обращения с личной информацией влечет за собой ответственность, установленную законодательством Российской Федерации. Характер ответственности конкретизируется несколькими статьями КоАП РФ. Например, в статье 13.11 КоАП РФ за обработку личных данных, несовместимую с целями сбора, зафиксировано наказание в виде штрафов от 1000 до 3000 рублей — для граждан, от 5000 до 10 000 рублей — для должностных лиц и от 30 000 до 50 000 рублей — для юридических лиц. А за разглашение персональных данных, в соответствии со статьей 13.14 КоАП РФ, налагаются штрафы на виновных граждан в размере от 500 до 1000 рублей, на должностных лиц — от 4000 до 5000 рублей.

Источник: http://clubtk.ru/forms/personalnyye-dannyye/oformlyaem-obrazets-obyazatelstva-o-nerazglashenii-personalnykh-dannykh-rabotnikov

Ответственность работника за разглашение персональных данных

Безопасность информации, в том числе персональных данных, в организации зависит от множества факторов. Руководители принимают различные меры для построения системы защиты, но зачастую они не работают из-за неправильно расставленных приоритетов. Одним из самых важных элементов защиты является человеческий фактор. Если для сотрудников неправильно построена система наступления ответственности за разглашение защищенной информации, то остальные меры защиты уже не важны. Разглашение охраняемой законом информации, в частности персональных данных, может привести к существенным проблемам для руководителя и компании в целом. И именно понимание работников неотвратимости наступления ответственности за разглашение персональных данных будет являться основополагающим фактором в системе защиты.

В соответствии с требованием ст. 24. Федерального закона «О персональных данных», лица, виновные в нарушении требований данного закона, несут предусмотренную законодательством Российской Федерации ответственность.

Исходя из смысла ст. 90 ТК РФ, работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.

В соответствии со ст. 192 ТК РФ за совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям.

Федеральными законами, уставами и положениями о дисциплине (ч. 5 ст. 189 ТК РФ) для отдельных категорий работников могут быть предусмотрены также и другие дисциплинарные взыскания.

Говоря об ответственности работника надо отграничить два разных случая:

  • разглашение имело место в период действия трудового договора;
  • разглашение имело место после прекращения (или расторжения) трудового договора.

В соответствии со статьей 81 пункт 6 подпункт «в» ТК РФ трудовой договор может быть расторгнут в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

Согласно п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 28.09.2010) «О применении судами Российской Федерации Трудового кодекса Российской Федерации», в случае оспаривания работником увольнения по подпункту «в» пункта 6 части первой статьи 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне, либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения.

Читайте так же:  Ответственность за неисполнение постановления суда

В соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб. Согласно ч. 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен работнику такими действиями. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.

Необходимо помнить, что на основании ст. 193 ТК РФ, дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. Такое взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки — позднее двух лет со дня его совершения. В эти сроки не включается время производства по уголовному делу.

За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

Кроме того, п. 7 статьи 243 ТК РФ регламентированы случаи привлечения работника к полной материальной ответственности за разглашение им сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами.

Для привлечения работника по данному основанию к полной материальной ответственности необходимо наличие следующих условий:

  • принадлежность разглашенной информации к сведениям, составляющим государственную, служебную, коммерческую или иную охраняемую законом тайну;
  • доступ работника к сведениям, составляющим охраняемую законом тайну. Такой доступ подразумевает оформление письменного документа, в котором указано, какие сведения работник обязуется не разглашать в связи с выполнением своих трудовых обязанностей;
  • распространение работником сведений, составляющих охраняемую законом тайну. При привлечении работника к полной материальной ответственности работодатель должен иметь доказательства сообщения работником сведений сторонним лицам;
  • прямой действительный ущерб, причиненный работодателю разглашением работником сведений, которые составляют охраняемую законом тайну.

На основании ст. ст. 2, 3, 5, 6 Закона о персональных данных персональные данные относятся к информации, доступ к которой ограничен. Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности по со ст. 13.14 КРФ об АП РФ — за разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей.

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности по ст. 137 УК РФ — незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, часть 2 указанной статьи — те же деяния, совершенные лицом с использованием своего служебного положения.

Согласно ст. 17 Закона о персональных данных, субъекту персональных данных предоставлено право обжаловать действия или бездействие оператора в уполномоченный орган по защите персональных данных или в суд, если субъект персональных данных считает, что оператор осуществляет обработку персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы. Он имеет право на защиту своих законных прав и интересов, в т.ч. и на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

В соответствии со ст. 1068 ГК РФ юридическое лицо несет ответственность за вред, причиненный его работником при исполнении трудовых обязанностей. То есть, убытки и моральный вред, причиненный субъекту персональных данных, будет возмещать работодатель. В свою очередь работодатель, на основании ст. 1081 ГК РФ вправе в регрессном порядке требовать возмещения причиненных ему убытков со своего работника.

Работодателю нужно соблюсти одно из обязательных условий, без которого работник, разгласивший вверенные ему на законном основании персональные данные, не может быть привлечен к ответственности: принятие работодателем необходимых мер для защиты информации, ограждения свободного доступа к ним.

Так в соответствии с п. 7 ст. 86 ТК РФ защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств. Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним.

Согласно ст. ст. 8 и 22 ТК РФ работодатель вправе принимать в пределах своей компетенции локальные нормативные акты, предусматривающие, в том числе, порядок хранения и обработки информации о персональных данных работника. Локальный акт (документ) организации о персональных данных работника может быть разработан в виде положения или инструкции.

Пунктом 8 ст. 86 ТК РФ установлено, что работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Напомним, что разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, неисполнение которой может повлечь привлечение к административной ответственности по ст. 5.27 КРФ об АП, а именно влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

В соответствии с частью четвертой ст. 57 ТК РФ в трудовом договоре могут предусматриваться условия о неразглашении государственной, служебной, коммерческой и иной охраняемой законом тайны. Поэтому следует включать в трудовые договоры с работниками, ответственным за хранение, обработку и использование персональных данных других работников, условие о неразглашении конфиденциальной информации о персональных данных работников, связанной с выполнением ими своих должностных обязанностей.

Кроме того, с работником можно подписать отдельное Обязательство о неразглашении персональных данных.

Система учета персональных данных также может предусмотреть проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные.

Эти и другие меры помогут существенно снизить угрозу разглашением персональных данных и избежать неблагоприятных последствий. Главное помнить, что любой факт, ведущий к наступление ответственности должен быть «задокументирован». В противном случае, работодатели останется один на один с возникшей проблемой.

Автор: Пенчукова И.О.,
старший юрисконсульт юридического отдела
ООО «РЭАЦ «Эксперт»

Источник: http://centr.expert/mnenie/otvetstvennost-rabotnika-za-razglashenie-personalnih-dannih

Кто и какую ответственность несет за нарушение законодательства о персональных данных

Если вы обрабатываете персональные данные граждан (клиентов, сотрудников), то за нарушения по работе с этими данными вас могут привлечь прежде всего к административной ответственности. Например, административный штраф может быть назначен за сбор персональных данных в ненадлежащих целях.

Читайте так же:  Ответственность чиновников за введение граждан в заблуждение

Гражданско-правовая ответственность наступит, если вы причинили убытки или моральный вред гражданину. Своих сотрудников, допустивших нарушение, вы можете привлечь к дисциплинарной и материальной ответственности. Как работодатель вы отвечаете за нарушение правил работы с персональными данными работников.

Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Оглавление:

1. Какая административная ответственность грозит за нарушение законодательства о персональных данных

Административная ответственность установлена:

  • за нарушение правил обработки персональных данных;
  • неисполнение обязанностей при взаимодействии с гражданином — субъектом персональных данных;
  • невыполнение требований по защите персональных данных;
  • неисполнение обязанностей при взаимодействии с Роскомнадзором.

Если в ходе проверки будет выявлено несколько нарушений, к ответственности вас привлекут за каждое из них. Также обратите внимание, что к ответственности за нарушение могут одновременно привлечь и организацию, и виновное физическое лицо (ч. 3 ст. 2.1 КоАП РФ).

Основной вид административного наказания за нарушение законодательства о персональных данных — штраф, размер которого зависит от конкретного нарушения. Максимально возможный — 75 000 руб. Он предусмотрен для организации за обработку персональных данных без письменного согласия гражданина, когда такое согласие требуется, или за отсутствие в нем всех необходимых сведений (ч. 2 ст. 13.11 КоАП РФ).

Далее рассмотрим подробнее группы нарушений и размеры штрафов за них.

Когда вместо административного штрафа возможно предупреждение

Это возможно, если такая санкция предусмотрена за ваше нарушение, вы совершили его впервые и при этом соблюдены условия, перечисленные в ч. 2 ст. 3.4 КоАП РФ. Если вы субъект малого и среднего предпринимательства, штраф вам и вашим работникам могут заменить на предупреждение, даже если норма этого не предусматривает (ч. 3 ст. 3.4 КоАП РФ).

1.1. Административная ответственность за нарушение правил обработки персональных данных

К административной ответственности за нарушение правил обработки вашу организацию и ее должностных лиц могут привлечь, если вы будете обрабатывать персональные данные:

1) в не предусмотренных законом случаях (ч. 1 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб.

Перечень случаев, в которых допускается обработка персональных данных, установлен в ч. 1 ст. 6 Закона о персональных данных. К их числу относится и обработка с согласия физлица, но обратите внимание, что под него состав отдельный — по ч. 2 ст. 13.11 КоАП РФ;

2) в целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ).

Видео (кликните для воспроизведения).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб.

Учтите, что у вас должны быть заранее определены законные и конкретные цели обработки персональных данных и все ваши действия с персональными данными должны им соответствовать (ч. 2, 5 ст. 5 Закона о персональных данных);

3) без согласия, когда оно требуется, или с согласия, но с неполными сведениями (ч. 2 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 20 000 руб., для организации — 75 000 руб.

Обратите внимание, что согласие требуется далеко не всегда, есть большой перечень случаев, когда в нем нет необходимости.

1.2. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с гражданином

Вас могут привлечь к ответственности, если вы:

1) в определенный срок не представите гражданину запрошенную им информацию (ч. 4 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 6 000 руб., для организации — 40 000 руб., для ИП — 15 000 руб.

Вас могут привлечь к ответственности, если вы, например, не подтвердите, что вы обрабатываете персональные данные, в течение 30 дней с получения соответствующего запроса гражданина (ч. 7 ст. 14, ч. 1 ст. 20 Закона о персональных данных);

2) не выполните требование об уточнении, блокировании или уничтожении его персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 45 000 руб., для ИП — 20 000 руб.

В частности, к ответственности вас могут привлечь, если вы не уточните персональные данные в течение семи рабочих дней со дня представления субъектом актуальных сведений (ч. 2 ст. 21 Закона о персональных данных).

1.3. Административная ответственность за невыполнение требований по защите персональных данных

К такой ответственности вас могут привлечь, если вы:

1) не опубликуете необходимые документы о вашей политике в отношении обработки персональных данных и о том, какие требования по их защите вы реализуете, или не обеспечите иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 6 000 руб., для организации — 30 000 руб., для ИП — 10 000 руб.;

2) не обеспечите сохранность данных при их неавтоматизированной обработке, если это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (ч. 6 ст. 13.11 КоАП РФ).

Максимальный штраф для должностных лиц — 10 000 руб., для организации — 50 000 руб., для ИП — 20 000 руб.

1.4. Административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором

К административной ответственности при взаимодействии с Роскомнадзором — уполномоченным органом по защите прав субъектов персональных данных вас могут привлечь, если вы, в частности:

  • не представите информацию, запрошенную им в порядке ч. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ);
  • не выполните в срок законное предписание Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
  • будете препятствовать проведению проверки либо уклоняться от нее (ч. 1 ст. 19.4.1 КоАП РФ);
  • не выполните требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).

2. В чем состоит гражданско-правовая ответственность

Нарушение законодательства в области персональных данных может повлечь гражданско-правовую ответственность в форме компенсации морального вреда, возмещения убытков, взыскания неустойки, если она была предусмотрена вашим договором.

Обратите внимание, что моральный вред вы обязаны возместить вне зависимости от того, возмещали ли вы имущественный вред физлицу и понесенные им убытки (ч. 2 ст. 24 Закона о персональных данных).

Ваша ответственность может наступить, если вы нарушаете:

  • права субъекта, установленные Законом о персональных данных;
  • правила обработки персональных данных;
  • требования к их защите.

Компенсировать моральный вред вы будете в денежной форме, размер компенсации определит суд с учетом степени вашей вины и степени страданий гражданина (ст. ст. 151, 1101 ГК РФ).

Убытки суд взыщет, если будут доказаны наступление вреда, противоправность вашего поведения и ваша вина, а также причинно-следственная связь между ними (см. Позицию КС РФ, ВС РФ, ВАС РФ). Учтите, что вина презюмируется и ее отсутствие придется доказывать вам (п. 2 ст. 1064 ГК РФ).

Обратите внимание, что возмещать вред будет организация, а не должностные лица, поскольку вред, причиненный работником, должен возмещать работодатель (п. 1 ст. 1068 ГК РФ).

3. Какую ответственность несут работник и работодатель за нарушения законодательства о персональных данных

Работодатель в этом случае может понести материальную ответственность перед своими сотрудниками.

Работника можно привлечь как к дисциплинарной, так и к материальной ответственности, если по его вине при обработке персональных данных произошло нарушение законодательства в области персональных данных.

Читайте так же:  Срок исковой давности в судебном разбирательстве

Далее расскажем об этом подробнее.

3.1. Какую ответственность несет работодатель перед своими работниками

Вы несете материальную ответственность перед своими работниками, если, нарушив по своей вине законодательство в области персональных данных, причините им материальный ущерб и (или) моральный вред (ст. 90, ч. 1 ст. 232, ч. 1 ст. 233 ТК РФ).

Например, такое возможно, если вы не обеспечили защиту персональных данных работника (не организовали особый режим доступа, хранение в особых местах и так далее), из-за чего они стали доступны посторонним лицам.

В таком случае вы обязаны возместить работнику ущерб в полном объеме, а моральный вред — в той сумме, о которой договоритесь с работником или которую определит суд (ч. 1 ст. 235, ст. 237 ТК РФ).

Дисциплинарная ответственность для работодателя законодательством не предусмотрена.

3.2. К какой ответственности работодатель может привлечь работника

Вы можете привлечь работника к дисциплинарной и материальной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту персональных данных других работников. Но потребуется соблюсти определенные условия (ч. 1 ст. 22, ст. 90 ТК РФ).

3.2.1. Дисциплинарная ответственность работника

Работника можно привлечь к дисциплинарной ответственности, если он виноват в неисполнении (ненадлежащем исполнении) своих трудовых обязанностей по обработке персональных данных (ч. 1 ст. 192 ТК РФ). Например, такое возможно, если работник отдела кадров разгласит персональные данные других лиц, которые стали ему известны в связи с исполнением своих трудовых обязанностей и которые он обязался не разглашать.

Такие действия могут быть признаны однократным грубым нарушением работником трудовых обязанностей. И в этом случае вы вправе применить к нему дисциплинарное взыскание вплоть до увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Учтите только, что нельзя уволить по этому основанию беременную женщину, работника, который находится в отпуске или на больничном, а также несовершеннолетнего, если нет на это согласия трудинспекции и комиссии по делам несовершеннолетних и защите их прав (пп. «в» п. 6 ч. 1, ч. 6 ст. 81, ч. 1 ст. 261, ст. 269 ТК РФ).

Чтобы привлечь работника к дисциплинарной ответственности, в том числе в виде увольнения, вам потребуется соблюсти специальный порядок, в частности: затребовать у него письменное объяснение, составить акт, если работник не представит его по истечении двух рабочих дней, оформить приказ о наложении дисциплинарного взыскания и ознакомить с ним работника (ч. 1, 2 ст. 192, ч. 1, 6 ст. 193 ТК РФ).

3.2.2. Материальная ответственность работника

Вы можете привлечь работника, ответственного за обработку персональных данных, в том числе за их неразглашение, если он нарушил свои обязанности и причинил вам тем самым ущерб (ст. 90, ч. 1 ст. 238 ТК РФ). То есть если вам пришлось возмещать материальный ущерб и (или) моральный вред пострадавшим по его вине работникам или третьим лицам.

Взыскать можно только прямой действительный ущерб, в том числе сумму ущерба и (или) морального вреда, выплаченную вами пострадавшим по его вине работникам или третьим лицам (ст. 90, ч. 1 ст. 238 ТК РФ).

Но сначала обязательно проведите проверку для определения размера ущерба и причин его возникновения, истребуйте от работника письменное объяснение, а также учтите другие обязательные требования, предусмотренные ст. ст. 246, 247, 248 ТК РФ.

4. В каких случаях нарушение законодательства о защите персональных данных может повлечь уголовную ответственность

Специальной нормы об ответственности за нарушение Закона о персональных данных в Уголовном кодексе РФ нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексомРФ.

В частности, уголовная ответственность установлена:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ);
  • неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК РФ).

Учтите, что к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).

Материал подготовлен специалистами компании «КонсультантПлюс».

Источник: http://cons59.ru/pravovaya-podderzhka/novosti-zakonodatelstva/kto-i-kakuyu-otvetstvennost-neset-za-narushenie-zakonodatelstva-o-personalnyix-dannyix

Персональные данные работника: миллионные штрафы за утечку

Хранение личной информации граждан за пределами РФ обойдется в 18 миллионов рублей

Депутаты одобрили поправки, предусматривающие введение новых санкций за нарушение закона № 152-ФЗ о персональной информации граждан. Законопроектом предложены следующие штрафы:

  1. За невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ, граждан планируется штрафовать на 30 000-50 000 рублей, должностных лиц — на сумму 200 000-500 000 рублей, ИП и юридических лиц — от 2 до 6 млн рублей. При повторном нарушении штрафы на граждан увеличиваются до 50 000-100 000 рублей, на должностных лиц — до 0,5-1 млн рублей, а ИП и организации обещают наказывать на 6-18 млн рублей.
  2. За повторные нарушения, предусмотренные ст. 13.31 КоАП РФ (неисполнение обязанностей организаторов распространения информации в сети Интернет), предложены штрафы для граждан — от 5000 до 30 000 рублей (в зависимости от правонарушения), для должностных лиц — от 50 000 до 500 000 рублей, для ИП и организаций — от 0,5 до 6 млн рублей.
  3. Отдельные санкции вводятся для операторов поисковых систем, организаторов сервисов обмена мгновенными сообщениями, владельцев аудиовизуального сервиса информации.

Все новые штрафы подробно описаны в таблице.

Статья КоАП РФ, которая изменится

для должностных лиц

для ИП и организаций

Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ

Повторное невыполнение обязанности по хранению персональных данных в РФ

Повторное неисполнение обязанностей организатором распространения информации в сети Интернет

От 5000 до 30 000 (в зависимости от правонарушения)

От 50 000 до 500 000 (в зависимости от правонарушения)

От 500 000 до 6 млн (в зависимости от правонарушения)

Повторное распространение владельцем аудиовизуального сервиса телеканала, телепрограммы, не зарегистрированных в качестве СМИ либо зарегистрированных, но лишенных права на вещание

Повторное нарушение владельцем аудиовизуального сервиса правил распространения среди детей информации, причиняющей вред их здоровью и(или) развитию

Повторное распространение владельцем аудиовизуального сервиса информации и материалов, содержащих призывы к осуществлению террористической и(или) экстремистской деятельности

Повторное неисполнение организатором сервиса обмена мгновенными сообщениями обязанностей

Повторное неисполнение оператором поисковой системы обязанности по подключению к информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ

Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о информационно-телекоммуникационных сетях, доступ к которым ограничен на территории РФ

Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о доменном имени и об указателях страниц сайтов в сети Интернет, доступ к которым ограничен на основании решения Московского городского суда, или копий заблокированных сайтов

Читайте так же:  После оформления права собственности на квартиру

Объясняя необходимость введения новых санкций, авторы в пояснительной записке к законопроекту пишут, что только штрафы способны остановить нарушителей. Они налагают не только финансовые, но и репутационные издержки, потому являются наиболее эффективной мерой воздействия.

Законопроект пока еще обсуждается, но авторы уверены, что новые санкции заработают уже в начале 2020 года.

С какими персональными данными приходится иметь дело работодателю

Что относится к персональным данным работника организации? В соответствии со ст. 3 закона № 152-ФЗ, персональные данные работника — это любые сведения о нем.

Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

  • фамилия, имя, отчество, дата и место рождения;
  • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
  • выполняемая работа с начала трудовой деятельности (включая военную службу);
  • адрес регистрации и фактического проживания;
  • паспортные данные (серия, номер, кем и когда выдан);
  • номер телефона, адрес электронной почты;
  • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • ИНН;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • результаты обязательного медосмотра при поступлении на работу;
  • семейное положение, Ф.И.О. и даты рождения детей.

Также определенная информация содержится в резюме соискателя и его анкете.

В процессе работы эти данные изменяются и дополняются. Работодатель обязан хранить их в секрете. Эта мера обеспечивается определением конкретных лиц, которые имеют к ним доступ. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

Образец приказа о персональных данных работников 2020

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

Судебная практика

При проверке соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании этого предписания Роскомнадзора незаконным.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013).

Образец заявления на обработку персональных данных работника

В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка фирмой-работодателем таких данных производится только при соблюдении ряда условий. В числе таковых согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Одновременно гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры РФ от 25.08.2010 № 558, срок хранения персональных данных работника составляет 75 лет.

Обработка персональных данных

В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждого сотрудника знакомят с этим документом под подпись.

Судебная практика

Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие этого локального нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

Судебная практика

Д. обратился в суд с иском о признании незаконной передачу работодателем его персональных данных другому лицу, взыскании морального вреда.

В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

Когда за разглашение информации могут уволить

Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Это прямо указано в пп. «в» п. 6 ч. 1 ст. 81 ТК РФ. К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Но если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации), и в его должностные обязанности не входит работа с личными сведениями, увольнение по такому основанию незаконно.

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст. 193 ТК РФ.

В случае оспаривания работником увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан предоставить доказательства того, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, они стали известны при исполнении работником трудовых обязанностей, и он обязывался не разглашать такие сведения (п. 43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

Судебная практика

Н. обратился в суд с иском о признании увольнения незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. Получив отказ, электромонтер обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.

Видео (кликните для воспроизведения).

Источник: http://clubtk.ru/personalnyye-dannyye-rabotnika

Ответственность за персональные данные работника
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here