Сессия публикаций: Самые «популярные» нарушения работодателей в сфере труда - 2017 №4

ПЕТРОВА  Оксана Рифкатовна Руководитель Департамента  аутсорсинга и консалтинга

№ 4 «Нарушения, связанные с ненадлежащей обработкой персональных данных» Добрый день! Сегодня мы завершим обзор самых «популярных» нарушений 2017 года в сфере труда и поговорим о том, как необходимо защищать персональные данные при их обработке в Вашей компании. Обычно, в компаниях с персональными данными работают специалисты кадровых служб и бухгалтерии. Работодатель же играет роль оператора персональных данных и обязан обеспечить сохранность и безопасность этой информации. Всем Вам уже известно из разных источников, что с 1 июля 2017 года существенно увеличились административные штрафы в области нарушений при работе с персональными данными. Кроме того, новые штрафы установили в зависимости от вида совершенного правонарушения.

---

ВСПОМНИМ, ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ И КТО УСТАНАВЛИВАЕТ ПОРЯДОК ИХ ХРАНЕНИЯ?

Пунктом 1 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ установлено, что персональные данные - это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. К ним относят ФИО человека, его адрес, номер телефона, дата рождения, семейное положение, уровень доходов и т.д..

В соответствии со статьёй 87 ТК РФ, каждая компания должна установить и документально закрепить порядок хранения и использования персональных данных работников.

Согласно статье 88 ТК РФ, передача персональных данных работника в пределах одной компании должна осуществляться в соответствии с локальным нормативным актом, с которым каждого работника необходимо ознакомить под роспись.

У работодателя персональные данные чаще всего, обобщаются в личных карточках и личных делах работников. При этом каждому специалисту отдела кадров необходимо помнить, что персональные данные допускается получать только лично от работников.

В случаях, когда персональные данные возможно получить только от третьих лиц, пункт 3 части 1 статьи 86 ТК обязывает уведомить об этом работника и получить от него на то письменное согласие.

КАКИЕ ПЕРСОНАЛЬНЫЕ СВЕДЕНИЯ РАБОТОДАТЕЛЬ НЕ ВПРАВЕ ПОЛУЧАТЬ?

Работодатели не вправе получать и обрабатывать персональные данные своих работников, которые не относятся напрямую к трудовой деятельности человека. Например, собирать сведения о вероисповедании работников, а также сведения, которые содержат в себе личную или семейную тайну. Такое правило вытекает из пункта 4 части 1 статьи 86 ТК РФ.

КАК ЗАЩИТИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СВОИХ РАБОТНИКОВ?

Как именно это сделать каждый работодатель решает самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте компании или ИП, допустим в Положении об обработке персональных данных работников

Также, согласно части 5 статьи 88 ТК РФ у работодателя должен быть официально назначен специалист, который отвечает за работу с персональными данными, взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д..

КАКАЯ ОТВЕТСТВЕННОСТЬ ПРЕДУСМОТРЕНА ЗА НЕНАДЛЕЖАЩУЮ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ?

С 1 июля 2017 года, как я уже говорила вначале, законодателями ужесточена административная ответственность в этой области.

В новой редакции статьи 13.11 КоАП РФ появились семь самостоятельных составов правонарушений и новые размеры административных штрафов:

1. Обработка персональных данных в «иных» целях

Примером такого правонарушения являются случаи, когда работодатель собирает персональные данные работников (ФИО, телефоны, электронные адреса и т.д.) и передаёт их сторонним, допустим, рекламным фирмам, после чего последние начинают рассылать работникам на телефоны или электронные адреса различные рекламные предложения.

За такой или аналогичный проступок работодателя административное наказание может быть следующим:

- предупреждения

или

- штрафы:

• на должностных лиц – от 5000 до 10 000 рублей;
• на юридических лиц – от 30 000 до 50 000 рублей.

В этой части важно помнить, что обработка персональных данных работодателем возможна только с письменного согласия работников.

2. Обработка персональных данных без согласия работника

Частью 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, какую информацию должно содержать в себе письменное согласие работника (ФИО, адрес сотрудника, реквизиты паспорта, наименование или ФИО и адрес работодателя, получающего согласие работника, цель обработки персональных данных и т.д.).

С 1 июля 2017 года если работодатель производит обработку персональных данных без письменного согласия работника, либо если такое согласие не содержит в себе все необходимые сведения, то для нарушителей частью 2 статьи 13.11 КоАП РФ предусмотрены следующие штрафные санкции:

• для должностных лиц – от 10 000 до 20 000 рублей;
• для юридических лиц - от 15 000 до 75 000 рублей.

3. Доступ к политике по обработке персональных данных

С 1 июля 2017 года в части 3 статьи 13.11 КоАП выделен самостоятельный состав правонарушения - невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениям по их защите.

Например, некоторые работодатели на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету. В таких случаях интернет-сайт также должен обеспечить доступ к Политике по обработке персональных данных.

Ответственность по этой статье может наступить в виде предупреждения или административного штрафа:

• для должностных лиц - от 3000 до 6000 рублей;
• для индивидуальных предпринимателей - от 5000 до 10 000 рублей;
• для юридических лиц - от 15 000 до 30 000 рублей.

4. Сокрытие информации перед субъектом персональных данных

С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является также самостоятельным административным правонарушением.

Частью 7 статьи 14 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что субъект персональных данных, а то есть, физическое лицо, которому принадлежат эти данные, имеет право получать информацию в части касающейся обработки его персональных данных, а именно:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• сроки обработки персональных данных, в том числе сроки их хранения;
• иные сведения, предусмотренные Федеральным законом.

За невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, влечет предупреждение или наложение административных штрафов:

• для должностных лиц - от 4000 до 6000 рублей;
• для индивидуальных предпринимателей - от 10 000 до 15 000 рублей;
• для юридических лиц - от 20 000 до 40 000 рублей.

5. Невыполнение оператором требования «хозяина» персональных данных или его представителя об уточнении, блокировке, уничтожении данных

Ещё один новый вид административного нарушения – невыполнение оператором требования «хозяина» персональных данных или его представителя об уточнении, блокировке, уничтожении данных в тех случаях, когда данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки.

О такой обязанности оператора говорится в статье 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Невыполнение оператором такого требования с 1 июля 2017 года влечёт предупреждение или наложение административных штрафов:

• для должностных лиц - от 3000 до 10 000 рублей;
• для индивидуальных предпринимателей - от 10 000 до 20 000 рублей;
• для юридических лиц - от 25 000 до 45 000 рублей.

6. Сохранность персональных данных

Многие работодатели собирают персональные данные работников только «на бумаге» и не осуществляют при этом их автоматизированную обработку. В таких случаях работодатели обязаны обеспечить сохранность персональных данных на материальных носителях.

С 1 июля 2017 года законодатель выделил для таких операторов новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации сохранности персональных данных при хранении, если это привело к неправомерному или случайному доступу к персональным данным и послужило причиной их уничтожения, блокировки, копирования и т.д..

Если такое неправомерное действие произошло, то административная ответственность может наступить в виде административного штрафа:

• для должностных лиц - от 4000 до 10 000 рублей;
• для индивидуальных предпринимателей - от 10 000 до 20 000 рублей;
• для юридических лиц - от 25 000 до 50 000 рублей.

7. Обезличивание персональных данных

В некоторых случаях, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах. К таким случаям может относиться, например, необходимость госорганов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов.

С 1 июля 2017 года невыполнение должностными лицами госоргана обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу является административным нарушением, за которое возможна ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от 3000 до 6000 рублей.

В части дисциплинарной, материальной и уголовной ответственности изменений не произошло!

Итак, подведём итоги!

С 1 июля 2017 года за допущенные нарушения при обработке и хранении персональных данных, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 рублей, ИП на сумму от 5000 до 20 000 рублей, а юридических лиц на сумму от 15 000 до 75 000 рублей. А в статье 13.11 КоАП в области правонарушений с персональными данными выделили семь самостоятельных составов .

До 1 июля 2017 года максимально возможный административный штраф в этой области составлял для юрлиц 10 000 рублей и состав нарушения в статье 13.11 КоАП РФ был одним.

Получается, что административные штрафы с 1 июля 2017 года существенно увеличились и соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Напомню, что если до 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ был вправе только прокурор, то с 1 июля 2017 года участие прокурора стало необязательным. С указанной даты такие дела вправе возбуждать должностные лица Роскомнадзора.
Обратите внимание, привлекать к ответственности стало проще!

БЕРЕГИТЕ СЕБЯ И СВОЙ БИЗНЕС!

comments powered by HyperComments comments powered by HyperComments