Предыдущая публикация
Персональные данные: что проверит Роскомнадзор.
Алена ШЕВЧЕНКО, юрист, эксперт журнала «Кадровое дело»В статье читайте:Что относится к персональным данным. Какие документы следует привести в порядок перед проверкой Роскомнадзора. Какую ответственность несет работодатель за нарушение законодательства о персональных данных
Локальные нормативные акты - Положение о работе с персональными даннымиКаждая организация обязана надлежащим образом хранить и обрабатывать персональные данные своих сотрудников. Однако многие работодатели пренебрегают требованиями закона, за что могут быть оштрафованы при проверке Роскомнадзора. Какие документы организация должна подготовить к такой проверке и какая ответственность грозит компании за нарушение режима работы с персональными данными, читайте в статье.Какие сведения относятся к персональным даннымПерсональные данные – это любая информация, которая прямо или косвенно относится к физическому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ). Персональные данные делятся на три вида:– общие;
– специальные;
– биометрические.К общим персональным данным относят Ф. И.О., место жительства, паспортные данные, сведения об образовании, квалификации и стажировке, размере заработка, предыдущей трудовой деятельности и т. д. Такая информация содержится в паспортах, дипломах, военных билетах, в личных карточках работников, трудовых книжках, приказах по личному составу, трудовых договорах, справках о доходах и др.Специальными данными считают сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и др. (ч. 1 ст. 10 Закона № 152-ФЗ). Эти данные могут содержаться в анкетах, заполняемых сотрудниками при приеме на работу, медицинских справках и т. д.Важная статья: «Обработка персональных данных: боремся с типичными ошибками» (№ 5, 2012)К биометрическим данным относят сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (ч. 1 ст. 11 Закона № 152-ФЗ). Например, это дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др1. Если по фотографии или видеозаписи можно идентифицировать человека, то они тоже относятся к биометрическим персональным данным. Исключение составляют фото и записи, сделанные на массовых и публичных мероприятиях (п. 1 ст. 152.1 ГК РФ).По общему правилу, обработка персональных данных требует письменного согласия работника. Оно оформляется в виде отдельного документа. Однако закон предусматривает ситуации, когда получать такое согласие не обязательно. Это возможно, если работник сам сделал свои данные общедоступными (например, разместил в сети Интернет), когда это необходимо для защиты жизни и здоровья сотрудника и иных лиц, передачи сведений в ПФР, налоговую, ФСС России, военкомат, прокуратуру, суд и в других случаях2.Если персональные сведения передают в банк для оформления зарплатных карт, то работодатель должен получить согласие сотрудника. Это не требуется при наличии одновременно двух условий: если локальный акт организации предусматривает выплату заработной платы на банковскую карту и работник ознакомлен под роспись с этим актом.Если передача персональной информации нужна, чтобы предупредить угрозу жизни и здоровью работника, то его согласие не потребуется (абз. 2 ст. 88 ТК РФ).Любые персональные данные работодатель вправе получать только от самого работника. Если такая информация требуется от третьих лиц, то на это нужно письменное согласие сотрудника. При этом работодатель должен сообщить ему о целях, предполагаемых источниках и способах получения персональных данных, последствиях отказа работника дать письменное согласие на их получение и т. д. (п. 3 ст. 86 ТК РФ). Исключение составляет общедоступная информация (ст. 8 Закона № 152-ФЗ). Ее можно взять из открытых источников: адресных книг, телефонных справочников и т. д.Обратите внимание, что письменное согласие работника требуется не только для получения, но и для передачи его персональных данных третьим лицам. Оно обязательно в каждом случае, когда происходит такая передача.Основные документы, которые проверит РоскомнадзорПриходя в организацию, Роскомнадзор обязательно проверит (п. 5–5.3 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312, далее – Административный регламент):– документы, в которых содержатся или могут содержаться персональные данные;
– информационные системы персональных данных;
– деятельность по обработке данных.В первую очередь специалист Роскомнадзора проверит наличие уведомлений об обработке персональных данных и уведомлений о прекращении их обработки; письменных согласий сотрудников на обработку личных сведений; документов, подтверждающих уничтожение данных по достижении цели их обработки; локальных актов работодателя о работе с персональными данными (п. 67.1 Административного регламента).Если проверка проводится по заявлению о нарушении законодательства или с целью контроля исполнения предписания, то специалист Роскомнадзора вправе запрашивать документы, которые необходимы для проверки сведений, изложенных в заявлении.Уведомление об обработке персональных данных. Прежде чем приступить к обработке персональных данных, каждая организация должна уведомить об этом территориальный орган Роскомнадзора (ч. 1 ст. 22 Закона № 152-ФЗ). В его адрес необходимо направить специальное уведомление в бумажном или электронном виде3 (ч. 3 ст. 22 Закона № 152-ФЗ). Однако существуют случаи, когда его можно не направлять. Например, если обработке подвергаются только фамилия, имя и отчество сотрудника либо когда это необходимо для оформления разового пропуска на территорию организации и др. (ч. 2 ст. 22 Закона № 152-ФЗ).Уведомление о прекращении обработки персональных данных. Если работодатель прекратил обрабатывать персональные данные, то в течение 10 рабочих дней он должен уведомить об этом орган Роскомнадзора (ч. 7 ст. 22 Закона № 152-ФЗ). Уведомление можно составить в произвольной форме.Положение о персональных данных работников. Этот локальный акт должен быть в каждой организации (ст. 87 ТК РФ). В нем обязательно нужно указать перечень документов компании, которые содержат персональные данные, определить внутренний (для работников организации) и внешний (для представителей других компаний и государственных органов) порядок доступа к таким данным, а также требования к порядку их сбора, передачи, хранения и уничтожения. Проверьте, чтобы все сотрудники организации были ознакомлены с положением под роспись (ч. третья ст. 68, п. 8 ст. 86 ТК РФ).Письменное согласие работника на обработку персональных данных. Такое согласие должен дать каждый работник, который ознакомлен с положением о персональных данных (п. 1 ч. 1 ст. 6, ч. 4 ст. 9 Закона № 152-ФЗ). Если сотрудник отказывается дать согласие на обработку своих данных, организация имеет право продолжать обрабатывать их без его разрешения для исполнения возложенных на нее обязанностей (передачи сведений в ПФР, ФСС России др.). Работодатель не имеет права наказать и тем более уволить работника за отказ от дачи такого согласия.Обязательство о неразглашении персональных данных. От каждого сотрудника, который работает с персональными данными, нужно получить письменное обязательство об их неразглашении. Рекомендуем также указать в должностной инструкции, что работник имеет доступ к таким сведениям в связи с исполнением трудовых обязанностей. Дело в том, что увольнение сотрудника за разглашение персональных данных возможно, только если они стали ему известны в связи с исполнением должностных обязанностей и он давал обязательство не распространять такие сведения (п. 43 постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2).Совет экспертаВиктория САПРАНОВА, руководитель службы по кадровому администрированию ООО «Ителла» (Москва)Получите письменное согласие работников, если хотите установить систему видеонаблюдения в кабинетахСкрытое слежение за работником является противоправным (ст. 23, 24 Конституции РФ). Поэтому если работодатель решил установить в кабинетах систему видеонаблюдения, то, прежде всего, нужно разработать и принять локальный акт, в котором будут определены цели установки видеокамер. В организации должны быть размещены таблички с надписью «Ведется видеонаблюдение». Кроме этого, каждого сотрудника необходимо уведомить об установке камер слежения лично под роспись (разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»). Также в обязательном порядке с работников надо взять письменное согласие на видеозапись на рабочем месте (п. 8 ст. 86 ТК РФ, ч. 1 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ).Порядок проведения проверки РоскомнадзораПроверки Роскомнадзора могут быть плановыми и внеплановыми, выездными и документарными (ст. 9–12 Федерального закона от 26 декабря 2008 г. № 294-ФЗ, далее – Закон № 294-ФЗ). Плановые проверки проводятся не чаще одного раза в три года (ч. 2 ст. 9 Закона № 294-ФЗ). Узнать о том, включена ли ваша организация в план проверок на 2015 год, можно на официальном сайте Роскомнадзора ( rkn.gov.ru/plan-and-reports ). О проведении плановой проверки Роскомнадзор должен любым доступным способом уведомить компанию не позднее чем за три рабочих дня (ч. 12 ст. 9 Закона № 294-ФЗ).Плановая проверка проводится, если со дня государственной регистрации работодателя или со дня проведения последней плановой проверки прошло не менее трех лет (п. 33 Административного регламента). Специалист Роскомнадзора, который пришел с проверкой, обязан предъявить работодателю заверенную копию приказа и свое служебное удостоверение. Копию приказа вручают руководителю организации под роспись (ч. 3 ст. 14 Закона № 294-ФЗ).Внеплановая проверка проводится только при наличии особых оснований (схема ниже). О ней Роскомнадзор уведомляет организацию не менее чем за 24 часа (ч. 16 ст. 10 Закона № 294-ФЗ). Исключение составляют проверки по заявлению о причинении вреда жизни или здоровью граждан (п. 41 Административного регламента). Внеплановая выездная проверка согласуется с органами прокуратуры (п. 55 Административного регламента).По общему правилу, срок любой проверки Роскомнадзора не может превышать 20 рабочих дней. Для субъектов малого предпринимательства срок выездных плановых проверок не может превышать 50 часов в год для малого предприятия и 15 часов в год – для микропредприятия. При необходимости проведения сложных исследований или специальных экспертиз эти сроки могут быть продлены, но не более чем на 20 рабочих дней, а для малых и микропредприятий – не более чем на 15 часов (ст. 13 Закона № 294-ФЗ).Роскомнадзор проводит проверку только в присутствии руководителя организации или иного уполномоченного представителя, за исключением случаев проверки в связи с причинением вреда жизни или здоровью граждан (п. 64 Административного регламента).Результаты проверки Роскомнадзора оформляют в виде акта. Составляют его в двух экземплярах, один из которых с копиями приложений вручается работодателю под роспись (ч. 4 ст. 16 Закона № 294-ФЗ). Если были выявлены нарушения, то дополнительно составляют предписание об их устранении и протокол административного правонарушения (п. 76, 77, 85, 88 Административного регламента). Если работодатель не согласен с результатами проверки, он имеет право обжаловать их в административном или судебном порядке4.Что грозит работодателю за нарушение законодательства о персональных данныхЗа нарушение законодательства о персональных данных организация и ее должностные лица несут административную и гражданскую ответственность (ст. 90 ТК РФ). Уголовная ответственность может наступить, например, за незаконное собирание или распространение сведений о частной жизни сотрудника без его согласия. В этом случае виновные лица могут понести наказание в виде штрафа до 200 000 рублей, быть привлечены к обязательным работам на срок до 360 часов, к исправительным работам на срок до одного года, арестованы на срок до четырех месяцев либо подвергнуты лишению свободы на срок до двух лет (ч. 1 ст. 137 УК РФ).Работников, виновных в нарушении порядка хранения, обработки, защиты и уничтожения персональных данных, можно дополнительно привлечь к дисциплинарной и материальной ответственности (таблица ниже).Наиболее распространенные виды ответственности за несоблюдение законодательства о персональных данныхОтветственностьКто отвечаетНарушениеВид наказанияНормаАдминистративнаяОрганизацияНарушение порядка сбора, хранения, использования или распространения персональных данныхШтраф от 5000 до
10 000 руб.Статья 13.11КоАП РФДолжностные лица организацииШтраф от 500 до
1000 руб.РаботникиШтраф от 300 до 500 руб.Должностные лица организацииРазглашение персональных данныхШтраф от 4000 до
5000 руб.Статья 13.14КоАП РФРаботники, которые осуществляют обработку персональных данныхШтраф от 500 до
1000 руб. ОрганизацияОтсутствие положения о персональных данных, отсутствие подтверждения об ознакомлении и ним сотрудников и иное нарушение трудового законодательства в области персональных данныхШтраф от 30 000 до
50 000 руб.Часть 1 ст. 5.27 КоАП РФДолжностные лица организацииПредупреждение или штраф от 1000 до
5000 руб.Индивидуальные предпринимателиШтраф от 1000 до
5000 руб.ОрганизацияНарушение законодательства о персональных данных лицом, которое ранее подвергалось наказанию за аналогичное правонарушениеШтраф от 50 000 до
70 000 руб.Часть 4 ст. 5.27 КоАП РФДолжностные лица организацииШтраф от 10 000 до
20 000 руб. или дисквалификация на срок от одного года до трех летИндивидуальные предпринимателиШтраф от 10 000 до
20 000 руб.Работники, которые осуществляют обработку персональных данных ГражданскаяОрганизацияНарушение правил обработки персональных данных, в результате чего работнику был причинен моральный вредВозмещение морального вреда сотрудникуСтатья 151 ГК РФ, ч. 2 ст. 24 Закона № 152-ФЗРаботникиДисциплинарнаяРаботникиНарушение порядка обработки персональных данныхДисциплинарное взыскание в виде замечания, выговора, увольненияСтатьи 90, 192ТК РФНормативная базаДокументПоможет вамГлава 14 ТК РФПонять, какие требования предъявляются к работе с персональными даннымиФедеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»Узнать, какие сведения относятся к персональным даннымВажные выводы1. Персональные данные можно получать только от самого работника. Если такая информация запрашивается от сторонних лиц или передается третьим лицам, то необходимо письменное согласие сотрудника.
2. Проверяющий из Роскомнадзора потребует предъявить положение о персональных данных, письменные согласия на их обработку, обязательства о неразглашении, а также уведомления об обработке персональных данных и о прекращении их обработки.
3. За нарушение законодательства о персональных данных работодатель может понести административную, уголовную и гражданскую ответственность.11 Разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».
2 Часть 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ, разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».
3 Форма уведомления утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346.
4 Пункт 4 ст. 21 Закона № 294-ФЗ, подп. «г» п. 10 Административного регламента.
Внеплановая проверка Роскомнадзора проводится, если:
прошло не менее трех лет со дня государственной регистрации работодателя;
прошло не менее трех лет со дня проведения последней проверки;
поступило заявление о причинении или возникновении угрозы причинения вреда жизни и здоровью граждан.
Следующая публикация
Нет комментариев