Соблюдение законодательства о персональных данных. Что грозит компании за нарушение закона

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Ответственность за нарушение ФЗ-152 «О персональных данных»

Правовая защита информации и персональных данных регулируется Федеральным законом 152 ФЗ. Предписывается обработка такой информации, а также ее хранение и ликвидация. Учитываются аспекты предоставления сведений по запросу органов власти, а также регламентируется использование информационных систем для обеспечения надлежащего доступа. В отдельном порядке регулируется назначение штрафов и иных взысканий за распространение личных сведений.

Что такое персональные данные?

Федеральный закон «О персональных данных» принят 8 июля 2006 года, вступил в силу через полгода после официального опубликования. Редакция документа дорабатывалась и актуализировалась, поправки вносились с целью устранения неточных формулировок и приведения правового акта во взаимодействие с иными законами. Последние изменения были внесены 29 июля 2017 года.

Структурно Закон «О персональных данных» подразделяется на следующие главы:

  • общие положения, включающие в себя цель принятия подобного акта и сферу его регулирования, а также основные понятия и место правовых норм в законодательстве РФ;
  • принципы и условия обработки соответствующей информации;
  • права субъекта персональных данных – гражданина, личные сведения которого регулируются действием закона 152 ФЗ;
  • должностные обязанности оператора – физического или юридического лица, осуществляющего сбор и хранение информации;
  • государственный надзор за хранением и обработкой полученных сведений, ответственность и назначение штрафов.

Согласно положениям ФЗ 152 под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному лицу – субъекту. Во избежание штрафов обработку таких сведений осуществляют по следующим принципам:

  • законность и справедливость;
  • четкое определение целевого назначения, в рамках которого допускается обработка персональной информации;
  • не допускается объединять базы данных, цели и назначение которых отличаются друг от друга;
  • объем персональной информации определяется целью ее сбора, не допускается избыточность получаемых сведений, в противном случае налагается взыскание в виде штрафа;
  • учитываются такие аспекты как точность, достаточность и актуальность информации;
  • срок хранения не должен выходить за рамки достижения поставленной цели, после такового сведения подлежат уничтожению или обезличиванию.

Законом предписывается сохранение конфиденциальности персональных данных. Не допускается их разглашение операторами третьим лицам, а также их распространение и использование без согласия субъекта. В отдельных случаях обработка может осуществляться только с письменного разрешения гражданина. В случае нарушения на оператора накладывается взыскание — штраф или иная ответственность.

Скачать Федеральный закон «О персональных данных» можно по ссылке. Документ представлен со всеми изменениями, актуальными на 2017 год.

Нарушение предписаний законодательства влечет за собой ответственность. Чаще всего она выражается в виде штрафа, однако в отдельных ситуациях может повлечь за собой и более серьезное наказание.

Читать еще:  Некорректное сравнение как признак недобросовестной конкуренции

Наказание за нарушение Закона «О персональных данных»

Штрафы по ФЗ 152 определяются статьей 24 об ответственности за нарушение Федерального закона «О персональных данных». Указанное положение ссылается на взыскания, предусмотренные законодательством. В штрафы включается и моральный вред, а также расходы, понесенные субъектом в связи с разглашением его данных.

Чтобы определить нормы законодательства по штрафам следует рассмотреть дополнительные правовые документы. Кодекс об административных правонарушениях определяет сумму штрафа в 10 тыс. рублей. Взысканию может быть подвергнуто физическое или должностное лицо, а также компания, за нарушение предписаний ФЗ 152.

Однако последние изменения в его положения предписывают штраф до 75 тыс. рублей. Также упростилась процедура взыскания.

Штраф в 20 и 50 тыс. ждет компанию в том случае, если не будет выполнено предписание Роскомнадзора или Трудовой инспекции соответственно. Последняя проводит проверку в соответствии с главой 14 ТК РФ, которая также защищает персональные данные работников от разглашения и предписывает ответственность за нарушения.

Статья 90 ТК РФ указывает на дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность. Согласно данному положению взыскание к нарушителю может применяться не только в виде штрафа или увольнения, но и в виде лишения свободы.

Последний пункт определяется статьей 137 УК РФ. Она предписывает ответственность за нарушения неприкосновенности личной жизни. Такое наказание определяется в связи с использованием должностного положения и разглашением персональной информации. Если действия оператора попадут под действия данной статьи, то ему грозит штраф до 300 тыс. рублей, принудительные работы или лишение свободы до четырех лет.

Нарушением, способным повлечь за собой уголовное наказание, может трактоваться и сбор избыточной информации. Под таковой понимается получение персональных сведений, не требуемых для достижения поставленных целей. В этой ситуации изначально следует предписание исключить их сбор и только потом штраф или уголовная ответственность.

Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными

Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей. Однако для контролирующих органов размер компании и количество работников значения не имеют. Причем, в случае выявления нарушений реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. А им зачастую является бухгалтер. Давайте попробуем разобраться, насколько серьезны штрафы и что должны делать бухгалтеры или кадровики, чтобы их избежать.

Штрафы и проверки

На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки. Согласно статье 13.11 КоАП РФ штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее должностного лица.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

Ответственность организации

Кроме того, если в компании не утверждено Положение о персональных данных, то возможно наступление административной ответственности за нарушение трудового законодательства по статье 5.27 КоАП РФ. Штраф может составить от 30 до 50 тыс. рублей. Также возможно административное приостановление деятельности на срок до девяноста суток. Кстати, с 2015 года штраф за повторное нарушение, предусмотренное данной статьей, составит уже от 50 до 70 тыс. рублей.

Соблюдение законодательства о персональных данных контролирует Роскомнадзор. За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей (статья 19.5 КоАП РФ). Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей (статья 19.7 КоАП РФ).

Ответственность работника

Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен (статья 90 ТК РФ):

  • к административной ответственности
  • к дисциплинарной и материальной ответственности;
  • к гражданско-правовой ответственности;
  • к уголовной ответственности.

Административная ответственность

Персональные данные относятся к информации, доступ к которой ограничен. Поэтому за разглашение персональных данных ответственный работник может быть оштрафован на сумму от 4 до 5 тыс. рублей (статья 13.14 КоАП РФ «Разглашение информации с ограниченным доступом»).

Должностных лиц также можно привлечь к ответственности и за отсутствие утвержденного Положения о персональных данных. В этом случае штраф за нарушение трудового законодательства составит от 1 до 5 тыс. рублей. За повторное нарушение с 2015 года штраф составит от 10 до 20 тыс. рублей или дисквалификация на срок от одного года до трех лет (статья 5.27 КоАП РФ).

Дисциплинарная ответственность

Трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей. В том числе и по причине разглашения персональных данных другого работника (подпункт «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя. Если вред был причинен по вине лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб.

Гражданско-правовая ответственность

Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии гражданским законодательством (статья 151 ГК РФ).

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности на основании статьи 137 УК РФ.

Как уже говорилось выше, ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор). Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ). Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Официальная информация

В 2013 году в рамках осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства в области персональных данных проведено 2 418 проверок (еще в 2011 году таких проверок было значительно меньше — 1 743 проверки). Из них 1 801 плановая и 617 внеплановых проверок.
В 2013 году рост количества плановых проверок был связан, прежде всего, с увеличением количества операторов, отказывавшихся выполнять требования Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» ввиду неосуществления, по их мнению, деятельности по обработке персональных данных.

Положение о персональных данных

Теперь попробуем выяснить, что же требуется сделать, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов.

Вопросы обработки персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Соблюдать требования этого закона должны все организации и ИП, у которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от физических лиц, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Главным документом, который должен иметь любой работодатель, является положение о персональных данных. Принять этот локальный акт, регулирующий порядок хранения и использования персональных данных работодателя обязывает статья 87 Трудового кодекса. В положении обычно прописывают все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.
На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (см. образец «Согласие на обработку персональных данных»). А значит, не лишним будет сразу разработать и утвердить форму такого заявления. На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.

Далее может следовать раздел «Доступ к персональным данным». В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций). При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника. Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т п.

Продолжит Положение раздел «Порядок обработки и передачи данных». Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным органам или лицам. В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством. Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.

А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.

Читать еще:  Обеспечение заявки по ФЗ-44

Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость Уголовного кодекса (ст. 137 УК РФ).
Положение о персональных данных можно разработать, взяв за основу разработанный нашим юристом образец «Положение о работе с персональными данными».

Однако кроме положения контролирующие органы в ходе проверок интересуются и другими документами. Назовем некоторые из них.

Приказ руководителя о назначении ответственного

Руководитель должен издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (см. образец «О назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное лицо)»), так и подразделение (см. образец «Приказ о назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное подразделение)»). В последнем случае личную ответственность несет руководитель такого подразделения.

Перечень персональных данных

Также потребуется утвердить документ, содержащий перечень персональных данных (см. образец «Приказ об утверждении перечня персональных данных»), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Журнал учета персональных данных

Работодатели обязаны соблюдать режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ). В подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации. Заметим, что форма такого журнала не установлена, поэтому разработать ее требуется самостоятельно.

Внешняя и внутренняя защита персональных данных

Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).

Возможное решение

Очевидно, что решение вопросов, касающихся персональных данных, может отнимать у бухгалтера очень много времени: требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать и заполнить их.

Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется бухгалтеру, чтобы организовать работу с персональными данными в соответствии с требованиями закона.

Сэкономить время и сосредоточиться на своей основной работе можно с помощью веб-сервиса «Персональные данные». Он автоматически формирует все необходимые приказы, акты, уведомления и положения, необходимые для работы с персональными данными. Вопросы, возникающие в ходе совершения действий, бухгалтер прямо со страницы сервиса может задать эксперту и получить оперативный ответ. Когда все действия завершены, остается только распечатать подготовленные сервисом документы и подписать их. Впоследствии сервис будет напоминать, что пора провести определённое мероприятие, закреплённое в комплекте документов, а также следить за изменениями законодательства и информировать о том, что надо сделать после вступления поправок в силу.

Год работы в сервисе с данными одной организации или ИП стоит 6 тысяч рублей. Однако часть необходимых документов бухгалтер может подготовить в «Персональных данных» бесплатно. Для этого достаточно пройти по ссылке, которую вы видите чуть ниже.

Персональные данные: что грозит за нарушение закона

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Какие данные являются персональными

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

Читать еще:  Исковое заявление о признании права собственности на земельный участок

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

За какие нарушения по персональным данным с 1 июля 2017 штраф 75 тыс руб.

В очередной раз ужесточают ответственность за обработку персональных данных. С 1 июля 2017 года будет действовать новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли — до 75 тыс. руб. О том, как защититься от нарушений, читайте в статье.

Ответственность за нарушения по персональным данным

До 1 июля 2017 года размеры штрафов за нарушение закона о персональных данных составляют:

  • для юридических лиц – от 5 тыс. до 10 тыс. руб.;
  • для должностных лиц – от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.

Вид нарушения

Размер штрафа

для юридических лиц

для должностных лиц

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Ситуации из практики: что изменится с 1 июля

Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.

Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

О других видах ответственности

Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.

Самый страшный вид ответственности – это уголовная. Она может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

Как защитить персональные данные

Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.

Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.

1. Ограничьте доступ сотрудников к компьютерам.

2. Введите систему индивидуальных паролей. Их нужно периодически менять.

3. Храните диски и другие носители информации в запирающихся шкафах.

4. Закрепите процедуру защиты информации в положении.

Положение об обработке персональных данных

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.

Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии – бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.

Обработка данных без согласия сотрудника

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 № 27-ФЗ);
  • налоговую инспекцию (ст. 24 НК РФ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 № 53-ФЗ);
  • иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

  • если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
  • если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  • если соответствующая форма и система оплаты труда прописана в коллективном договоре учреждения (абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.).
Ссылка на основную публикацию
Adblock
detector