Ответственность за нарушения при работе с персональными данными

Ответственность за нарушение закона о персональных данных | Статьи | Журнал «Кадровое дело»

Ответственность за нарушения при работе с персональными данными

Персональные данные (ПДн) – это информация, которая содержит не только личные данные человека (ФИО, дата и место рождения, образование, регистрационные номера индивидуальных документов). При работе с персональными данными физические и юридические лица, должностные сотрудники обязаны выполнять требования нормативных актов о правилах сбора, хранения и использования.

Из этой статьи вы узнаете:

  • как может быть наказан нарушитель закона о персональных данных;
  • какая уголовная ответственность предусмотрена за нарушение закона о персональных данных;
  • в чем может быть выражена гражданско-правовая ответственность за нарушение закона о персональных данных.

Правомерные условия и принципы обработки персональных данных, права обладателя (работника) и обязанности оператора (работодателя) по сбору, сохранению и обеспечению безопасности личных документов и всех видов данных регламентируется Федеральным законом № 152-ФЗ, вступившим в силу 27 июля 2006 года. Помимо основного закона, к федеральным нормативным актам, регламентирующим ответственность за нарушения в области защиты персональных данных, относятся:

  • Федеральный закон № 149-ФЗ от 27. 07. 2006 «Об информационных технологиях и о защите информации», № 261 от 25. 07. 2011;
  • Трудовой кодекс – глава 14 ст. 86-90 ТК РФ;
  • Уголовный кодекс РФ – ст. 137 УК РФ, ст. 140 УК РФ, ст. 272 УК РФ;
  • Кодекс об административных нарушениях – ст. 5.39, ст. 13.11, ст. 13. 12, ст. 13.13, ст. 13.14;
  • Гражданский кодекс РФ – ст. 150-152 ГК РФ, ст. 946 ГК РФ.

Федеральным органом, который контролирует правильность и правомерность обработки персональных данных в соответствии с законодательством является Роскомнадзор, имеющий 65 территориальных отделения. Ответственность за нарушение закона о персональных данных в зависимости от типа и характера подвергается различного рода взысканиям и наказаниям.

О персональных данных: образце согласия на обработку персональных данных, читайте далее

Дисциплинарная ответственность за нарушение закона о персональных данных

Дисциплинарная ответственность может быть наложена на сотрудников организации, персонал кадрового и бухгалтерского отдела в случае разглашения личной информации и данных о работниках без их согласия. Действия работодателя или сотрудников компании, имеющих официальный доступ к персональным данным сотрудников, могут быть обжалованы и рассмотрены в судебном порядке.

При выявлении нарушений в процедуре обработке, сохранения и предоставления ПДн ответственные сотрудники могут быть наказаны административно – получить замечание, выговор или подвергнуться увольнению за несоответствие занимаемой должности. Увольнение может быть инициировано руководством организации за разглашение любой тайной информации, к которой в том числе относятся и персональные данные всех сотрудников.

Уголовная ответственность за нарушение закона о персональных данных

Уголовный кодекс РФ предусматривает различные категории ответственности за нарушение закона о персональных данных:

  1. По статье 137 УК РФ – за нарушение неприкосновенности частной жизни. Под эту статью могут попасть граждане, которые неправомерно собирают или публично распространяют любые сведения, касающиеся личной/частной жизни, придают огласке семейные тайны посредством выступлений или через средства массовой информации. При применении данной статьи уголовная ответственность может быть выражена в виде штрафа до 200 тыс. рублей, лишение свободы до 2 лет. Когда виновник при этом использует свое служебное положение и нарушает должностные обязанности – штраф до 300 тыс. рублей, срок лишения свободы может быть увеличен до 4 лет, запрет на право занимать определенную должность или осуществление конкретного вида деятельности до 5 лет.
  2. По статье 140 УК РФ – уголовная ответственность за нарушение закона о персональных данных может наступить при неправомерном отказе должностного лица в правомерном предоставлении ПДн. Статья предусматривает наказание в виде штрафа до 200 тыс. рублей, запрет на работу в определенной сфере или на должности сроком от 2 до 5 лет.
  3. Статья 272 УК РФ – ответственность за незаконный доступ к охраняемой компьютерной информации, то есть, данным, находящимся в памяти компьютера или на машинном носителе. Наказание в этой статье предусмотрено в виде штрафа размером до 200 тыс. рублей лишение свободы сроком до 2 лет.

Административная ответственность за нарушение закона о персональных данных

КоАП предусматривает ответственность по таким статьям:

  1. Статья 5.39 — отказ должностного лица в предоставлении информации гражданину/адвокату на законных основаниях. Чревато наложением штрафных санкций от 1 до 3 тыс. рублей.
  2. Статья 13.11 – нарушение законодательно установленной процедуры сбора, хранения, использования и распространение ПДн. Предполагает предупреждение или штраф для физ. лица в размере от 300 до 500 руб., для должностного лица – от 500 до 1000 рублей, для компании/организации – от 5 до 10 тыс. рублей.
  3. Статья 13.12 – нарушение правил защиты персональных данных и тайной информации. Предполагает наказание за использование несертифицированных систем, неустановленных баз и сомнительных банков информации для физ. лиц штраф от 500 до 2000 руб., для должностных лиц – от 2500 до 3000 руб., для организаций – от 20 до 25 тыс. рублей.
  4. Статья 13.13 – деятельность в области защиты информации без правомерно оформленного федерального разрешения/лицензии считается незаконной. При нарушении этого закона на гражданина может быть наложен штраф от 500 до 1000 руб., на должностное лицо – от 2 до 3 тыс. руб., на организацию – от 10 до 20 тыс. руб. Если информация составляет государственную тайну, наказание соответственно увеличивается до 4-5 тыс. руб. для должностных лиц, до 30-40 тыс. руб. с конфискацией нелицензионных средств защиты для организаций.
  5. Статья 13.14 – ответственность за разглашение информации, доступ к которой ограничен федеральным законом, при исполнении служебных и должностных обязанностей (в том числе при выполнении адвокатских услуг). Может быть применено наказание в виде штрафа для гражданских лиц – 500-1000 руб., для должностных лиц – 4-5 тыс. руб.

Гражданско-правовая ответственность за нарушение закона о персональных данных

Гражданский кодекс предусматривает защиту частных, семейных данных, деловой информации/репутации. Это отражено в статьях 150, 151 и 152 ГК РФ, тайна страхования – ст. 946 ГК РФ. Степень ответственности и наказание по этим нормативным актам определяется в судебном порядке. Наказание может быть выражено в виде денежной компенсации за нанесенный моральный ущерб.

Рекомендуем материалы по теме:

Источник: https://www.kdelo.ru/art/383878-qqq-16-m11-otvetstvennost-za-narushenie-zakona-o-personalnyh-dannyh

Прописана ответственность за нарушения при работе с персональными данными

1 июля вступит в силу новая редакция ст. 13.11 КоАП РФ, в которой прописана ответственность за нарушения при работе с персональными данными. За что накажут и какие штрафы придется заплатить, рассказывает эксперт.

Проверять компании будет Роскомнадзор. Порядок проверок прописан в приказе Минсвязи РФ от 14 ноября 2011 г. № 312.

Сейчас за нарушение порядка сбора, хранения, использования или распространения персональных данных максимальный штраф для юридических лиц — 10 000 рублей, для должностных — 1000 рублей.

С 1 июля все изменится. Новая редакция статьи 13.11 КоАП РФ разрастется до 7 частей — с указанием специального состава. Штрафы станут ощутимее.
С 1 июля за нарушения в области персональных данных наказывать будут за конкретные, а не за общие правонарушения.

За что и как накажут: избранные нарушения

    1. Самым «дорогим» будет штраф за обработку персональных данных без письменного согласия граждан. В согласии должны быть указаны: ФИО, адрес гражданина (сотрудника), удостоверяющий личность документ, наименование и адрес компании, цель обработки персональных данных и их перечень и проч. (ст. 9 Федерального закона от 27.07.

      2006 № 152-ФЗ «О персональных данных»).Письменное согласие работника обязательно, например, при обработке биометрических данных и спецкатегорий персональных данных о расовой, национальной принадлежности, политических и религиозных убеждениях.Размер штрафа составит: для должностных лиц — от 10 000 до 20 000 рублей, для юридических лиц — от 15 000 до 75 000 рублей.

      Предполагаю, что применение ответственности будет аналогично процессу с трудовыми договорами (ст. 5.27 КоАП РФ) — за каждый неправильно оформленный документ. Покажет это первый срез инспекционной практики во второй половине 2017 года.

    2. Административной ответственности не избежать, если локальный нормативный акт (положение, регламент и проч.

      ) по работе с персональными данными не будет размещен на сайте компании либо к нему не будет обеспечен неограниченный доступ (требования ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).В такой ситуации размер штрафа для должностных лиц составит от 3000 до 6000 рублей, для юридических лиц — от 15 000 до 30 000 рублей.

    3. Серьезные штрафы можно получить, если компания не ответит на запрос (письменный или устный) работника и не предоставит ему информацию о том, как происходит обработка персональных данных: цели, сроки обработки и хранения данных, ответственное лицо и проч. (ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

      Работодателю грозит предупреждение или штраф: для должностных лиц — от 4000 до 6000 рублей, для юридических — от 20 000 до 40 000 рублей.По требованию гражданина компания должна уточнить, блокировать или уничтожить персональные данные, если они неполные, устарели, неточные, были незаконно получены, не обязательны для обработки.

      Неисполнение требования влечет предупреждение или наложение штрафа: для должностных лиц — от 4000 до 10 000 рублей, для юридических лиц — от 25 000 до 45 000 рублей.

Как избежать штрафов

Минимизировать риски можно, если:

    • иметь письменные согласия работников, соискателей, третьих лиц на обработку данных;
    • принять локальный нормативный акт (акты) по защите персональных данных;
    • опубликовать локальный акт (акты) на сайте компании или обеспечить к нему/ним неограниченный доступ для ознакомления;
    • зарегистрироваться в качестве оператора персональных данных;
    • иметь в штате сотрудника, ответственного за организацию работы по обработке персональных данных;
    • обеспечить законную обработку персональных данных в информационных системах;
    • защищать персональные данные от утечек и проч.

Источник: rabota.ru

Источник: http://mip-expert.ru/personalnye-dannye/propisana-otvetstvennost-za-narushenija-pri-rabote-s-personalnymi-dannymi

Персональные данные: что грозит за нарушение закона — статья

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1624

Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными

Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей. Однако для контролирующих органов размер компании и количество работников значения не имеют.

Причем, в случае выявления нарушений реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. А им зачастую является бухгалтер.

Давайте попробуем разобраться, насколько серьезны штрафы и что должны делать бухгалтеры или кадровики, чтобы их избежать.

На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки. Согласно статье 13.11 КоАП РФ штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее должностного лица.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

Ответственность организации

Кроме того, если в компании не утверждено Положение о персональных данных, то возможно наступление административной ответственности за нарушение трудового законодательства по статье 5.27 КоАП РФ.

Штраф может составить от 30 до 50 тыс. рублей. Также возможно административное приостановление деятельности на срок до девяноста суток.

Кстати, с 2015 года штраф за повторное нарушение, предусмотренное данной статьей, составит уже от 50 до 70 тыс. рублей.

Соблюдение законодательства о персональных данных контролирует Роскомнадзор.

За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей (статья 19.5 КоАП РФ).

Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей (статья 19.7 КоАП РФ).

Ответственность работника

Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен (статья 90 ТК РФ):

  • к административной ответственности
  • к дисциплинарной и материальной ответственности;
  • к гражданско-правовой ответственности;
  • к уголовной ответственности.

Административная ответственность

Персональные данные относятся к информации, доступ к которой ограничен. Поэтому за разглашение персональных данных ответственный работник может быть оштрафован на сумму от 4 до 5 тыс. рублей (статья 13.14 КоАП РФ «Разглашение информации с ограниченным доступом»).

Должностных лиц также можно привлечь к ответственности и за отсутствие утвержденного Положения о персональных данных. В этом случае штраф за нарушение трудового законодательства составит от 1 до 5 тыс. рублей. За повторное нарушение с 2015 года штраф составит от 10  до 20  тыс. рублей или дисквалификация на срок от одного года до трех лет (статья 5.27 КоАП РФ).

Дисциплинарная ответственность

Трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей. В том числе и по причине разглашения персональных данных другого работника (подпункт  «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя. Если вред был причинен по вине лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб.

Гражданско-правовая ответственность

Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии гражданским законодательством (статья 151 ГК РФ).

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности на основании статьи 137 УК РФ.

Проверки

Как уже говорилось выше, ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор).

Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ).

Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Положение о персональных данных

Теперь попробуем выяснить, что же требуется сделать, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов.

Вопросы обработки персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Соблюдать требования этого закона должны все организации и ИП, у которых есть хотя бы один работник.

Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от физических лиц, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Главным документом, который должен иметь любой работодатель, является положение о персональных данных. Принять этот локальный акт, регулирующий порядок хранения и использования персональных данных работодателя обязывает статья 87 Трудового кодекса.

В положении обычно прописывают все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (см. образец «Согласие на обработку персональных данных»). А значит, не лишним будет сразу разработать и утвердить форму такого заявления.

На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.   Далее может следовать раздел «Доступ к персональным данным».

В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций). При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.

Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т п.   Продолжит Положение раздел «Порядок обработки и передачи данных».

Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным  органам или лицам. В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.

Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.   А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.  

Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость  Уголовного кодекса (ст. 137 УК РФ).

Положение о персональных данных можно разработать, взяв за основу разработанный нашим юристом образец «Положение о работе с персональными данными».  

Однако кроме положения контролирующие органы в ходе проверок интересуются и другими документами. Назовем некоторые из них.

Приказ руководителя о назначении ответственного

Руководитель должен издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (см.

образец «О назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное лицо)»), так и подразделение (см.

образец «Приказ о назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное подразделение)»). В последнем случае личную ответственность несет руководитель такого подразделения.

Перечень персональных данных

Также потребуется утвердить документ, содержащий перечень персональных данных (см. образец «Приказ об утверждении перечня персональных данных»), которые реально используются в деятельности организации.

Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

 

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Журнал учета персональных данных

Работодатели обязаны соблюдать режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ).

В подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации.

Заметим, что форма такого журнала не установлена, поэтому разработать ее требуется самостоятельно.

Внешняя и внутренняя защита персональных данных

Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).

Возможное решение

Очевидно, что решение вопросов, касающихся персональных данных, может отнимать у бухгалтера очень много времени: требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать и заполнить их.

Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется бухгалтеру, чтобы организовать работу с персональными данными в соответствии с требованиями закона.

Сэкономить время и сосредоточиться на своей основной работе можно с помощью веб-сервиса «Персональные данные». Он автоматически формирует все необходимые приказы, акты, уведомления и положения, необходимые для работы с персональными данными.

Вопросы, возникающие в ходе совершения действий, бухгалтер прямо со страницы сервиса может задать эксперту и получить оперативный ответ. Когда все действия завершены, остается только распечатать подготовленные сервисом документы и подписать их.

Впоследствии сервис будет напоминать, что пора провести определённое мероприятие, закреплённое в комплекте документов, а также следить за изменениями законодательства и информировать о том, что надо сделать после вступления поправок в силу.

Год работы в сервисе с данными одной организации или ИП стоит 6 тысяч рублей. Однако часть необходимых документов бухгалтер может подготовить в «Персональных данных» бесплатно. Для этого достаточно пройти по ссылке, которую вы видите чуть ниже.

Источник: https://www.buhonline.ru/pub/beginner/2014/9/9010

Ответственность за нарушение ФЗ-152 «О персональных данных»

Правовая защита информации и персональных данных регулируется Федеральным законом 152 ФЗ. Предписывается обработка такой информации, а также ее хранение и ликвидация.

Учитываются аспекты предоставления сведений по запросу органов власти, а также регламентируется использование информационных систем для обеспечения надлежащего доступа.

В отдельном порядке регулируется назначение штрафов и иных взысканий за распространение личных сведений.

Что такое персональные данные?

Федеральный закон «О персональных данных» принят 8 июля 2006 года, вступил в силу через полгода после официального опубликования. Редакция документа дорабатывалась и актуализировалась, поправки вносились с целью устранения неточных формулировок и приведения правового акта во взаимодействие с иными законами. Последние изменения были внесены 29 июля 2017 года.

Структурно Закон «О персональных данных» подразделяется на следующие главы:

  • общие положения, включающие в себя цель принятия подобного акта и сферу его регулирования, а также основные понятия и место правовых норм в законодательстве РФ;
  • принципы и условия обработки соответствующей информации;
  • права субъекта персональных данных – гражданина, личные сведения которого регулируются действием закона 152 ФЗ;
  • должностные обязанности оператора – физического или юридического лица, осуществляющего сбор и хранение информации;
  • государственный надзор за хранением и обработкой полученных сведений, ответственность и назначение штрафов.

Согласно положениям ФЗ 152 под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному лицу – субъекту. Во избежание штрафов обработку таких сведений осуществляют по следующим принципам:

  • законность и справедливость;
  • четкое определение целевого назначения, в рамках которого допускается обработка персональной информации;
  • не допускается объединять базы данных, цели и назначение которых отличаются друг от друга;
  • объем персональной информации определяется целью ее сбора, не допускается избыточность получаемых сведений, в противном случае налагается взыскание в виде штрафа;
  • учитываются такие аспекты как точность, достаточность и актуальность информации;
  • срок хранения не должен выходить за рамки достижения поставленной цели, после такового сведения подлежат уничтожению или обезличиванию.

Законом предписывается сохранение конфиденциальности персональных данных.

Не допускается их разглашение операторами третьим лицам, а также их распространение и использование без согласия субъекта.

В отдельных случаях обработка может осуществляться только с письменного разрешения гражданина. В случае нарушения на оператора накладывается взыскание — штраф или иная ответственность.

Скачать Федеральный закон «О персональных данных» можно по ссылке. Документ представлен со всеми изменениями, актуальными на 2017 год.

Нарушение предписаний законодательства влечет за собой ответственность. Чаще всего она выражается в виде штрафа, однако в отдельных ситуациях может повлечь за собой и более серьезное наказание.

Наказание за нарушение Закона «О персональных данных»

Штрафы по ФЗ 152 определяются статьей 24 об ответственности за нарушение Федерального закона «О персональных данных». Указанное положение ссылается на взыскания, предусмотренные законодательством. В штрафы включается и моральный вред, а также расходы, понесенные субъектом в связи с разглашением его данных.

Чтобы определить нормы законодательства по штрафам следует рассмотреть дополнительные правовые документы. Кодекс об административных правонарушениях определяет сумму штрафа в 10 тыс. рублей. Взысканию может быть подвергнуто физическое или должностное лицо, а также компания, за нарушение предписаний ФЗ 152.

Однако последние изменения в его положения предписывают штраф до 75 тыс. рублей. Также упростилась процедура взыскания.

Штраф в 20 и 50 тыс. ждет компанию в том случае, если не будет выполнено предписание Роскомнадзора или Трудовой инспекции соответственно. Последняя проводит проверку в соответствии с главой 14 ТК РФ, которая также защищает персональные данные работников от разглашения и предписывает ответственность за нарушения.

Статья 90 ТК РФ указывает на дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность. Согласно данному положению взыскание к нарушителю может применяться не только в виде штрафа или увольнения, но и в виде лишения свободы.

Последний пункт определяется статьей 137 УК РФ. Она предписывает ответственность за нарушения неприкосновенности личной жизни.

Такое наказание определяется в связи с использованием должностного положения и разглашением персональной информации. Если действия оператора попадут под действия данной статьи, то ему грозит штраф до 300 тыс.

рублей, принудительные работы или лишение свободы до четырех лет.

Нарушением, способным повлечь за собой уголовное наказание, может трактоваться и сбор избыточной информации. Под таковой понимается получение персональных сведений, не требуемых для достижения поставленных целей. В этой ситуации изначально следует предписание исключить их сбор и только потом штраф или уголовная ответственность.

Если у Вас есть вопросы, проконсультируйтесь у юристаЗадать свой вопрос можно в форме ниже, в окошке онлайн-консультанта справа, внизу экрана или позвонив по номерам (круглосуточно и без выходных):

Источник: https://210fz.ru/otvetstvennost-po-fz-152-za-razglashenie-personalnyx-dannyx/

Защита персональных данных работника

Работодатель обеспечивает сбор, обработку, хранение и защиту персональных данных работника с первого дня трудовых отношений с сотрудником.

С учетом статьи 65 ТК РФ устанавливается список тех документов, которые предъявляют при трудоустройстве.

Это паспорт, дипломы, подтверждающие образование, сертификаты, трудовая книжка, страховое свидетельство, военный билет — в каждом таком документе содержатся сведения личного характера. Узнайте, как обрабатывать персданные при приеме на работу

Политика защиты и обработки персональных данных

Скачайте документы по теме:

Этот перечень не является исчерпывающим. С учетом специфики отдельных должностей или видов работ работодатель может запросить у соискателей справку о состоянии здоровья, а также об отсутствии судимостей или другие персональные данные. Узнайте, как утвердить персданные, чтобы избежать штрафа Роскомнадзора

Защита персональных данных работника обеспечивается в соответствии с регламентом российского законодательства. Отдельные нормативы, устанавливающие общий порядок обработки сведений, относящихся к конфиденциальным, содержатся в статьях 86-90 Трудового кодекса РФ, в статьях 137, 140 и 272 УК РФ, статьях 5.39, 13.11-13.14 КоАП РФ, и в статьях 150-152 и 946 ГК РФ.

Существует и отдельный нормативный акт, который в полной мере раскрывает такие понятия, как: «персональные данные», «обработка сведений персонального характера, и «защита персональных данных».Это федеральный закон №152-ФЗ от 27 июля 2006 года.

Действие этого нормативного акта распространяется на всех работодателей без исключения, независимо от сферы деятельности, от штатной структуры и от организационно-правовой формы предприятий.

Узнайте, за какие нарушения в работе с персданными теперь штрафуют строже. 

Персональные данные и защита персональных данных работника: Закон 152-Ф3

Персональные данные не ограничиваются одним определенным видом информации. Сведения персонального характера подразделяют на три категории:

  • общие;
  • специальные;
  • биометрические.

Справка

К персональным данным относят следующие сведения:

  1. уровень квалификации;
  2. образование и стаж;
  3. размер заработка;
  4. социальное или имущественное положение;
  5. место жительства;
  6. предыдущее место работы;
  7. дата рождения, фамилия, имя и отчество работника.

При сборе такой информации работодатель, в соответствии с законом №152-ФЗ, получает статус оператора, работник относится к субъекту персональных данных. Сбор, обработка и защита персональных данных работника должна осуществляться в законном порядке.

Получить сведения о работнике можно только непосредственно от него, а не через третьих лиц. Если в силу каких-то обстоятельств информацию можно получить только у третьей стороны, стоит заранее уведомить об этом работника, получив его письменное согласие.

Нельзя ограничиваться устной договоренностью. 

Как проводится обезличивание и защита персональных данных работника: шпаргалка

Защиту персональных данных работников гарантирует трудовое право. Чтобы предотвратить разглашение персональных данных, необходимо создать надежную систему их защиты.

Порядок получения работодателем персданных, обработки, осуществления передачи и хранения сведений устанавливают в локальном нормативном акте организации, например в Положении о работе с персональными данными сотрудников (статьи 8, 87 ТК РФ, пункт 2 ч. 1 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ).

Положение о защите персональных данных работников утверждает руководитель предприятия. С нормативным документом под подпись знакомят всех сотрудников.

В организации назначают ответственное лицо по работе с персональными данными (часть 5 статьи 88 ТК РФ).

Чаще всего ответственным является специалист службы персонала, так как в ходе своей работы он сталкивается с обработкой персональных данных сотрудников. Ответственное лицо назначают приказом, оформленным в произвольной форме.

Положение о порядке хранения и защиты персональных данных пользователей

Все меры по защите персональных данных работников при осуществлении их обработки предусмотрены статьей 19 Закона от 27 июля 2006 г. № 152-ФЗ и в Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. С учетом указанных законов организация вправе выработать собственную систему защиты персональных данных работников.

Положение о работе с персональными данными работников

При проведении обработки персданных в информационных системах необходимо обеспечить конфиденциальной информации полную защиту и безопасность. Угрозой безопасности служат определенные условия и факторы, создающие опасность несанкционированного (в том числе случайного) доступа к персональным данным. К таким действиям относится:

  • уничтожение;
  • копирование;
  • изменение;
  • блокирование;
  • распространение;
  • предоставление;
  • иные действия неправомерного характера.

Необходимо отметить, при выборе определенных средств защиты информации для информационных систем обработки персданных осуществляется работодателем с учетом нормативно-правовых актов ФСБ и ФСТЭК России.

При определении типов угроз безопасности, актуальных для всей системы обработки и защиты персданных, учитывается оценка возможного вреда и соответствие обработки с учетом нормативных актов упомянутых органов (п.

 4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке данных в целях защиты персональных данных работников в системах рационально устанавливать четыре уровня защиты в зависимости от категории самих данных и количества сотрудников, сведения о которых внесены в систему. 

С учетом уровня защищенности работодателю необходимо принимать разнообразные меры по защите систем обработки всех персональных данных. Эти меры предусмотрены пунктами 13–16 требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Узнайте, как принять на работу высококвалифицированного иностранца

В помещениях, где хранятся персональные данные, устанавливают режимы обеспечения безопасности. Проводят назначение ответственных лиц за обеспечение безопасности персданных, внесенных в информационные системы. Контрольные проверки защиты персональных данных работников проводят не реже одного раза в течение трех лет. Полезная статья: Общие правила приема на работу

Приказ о назначении ответственного по работе с персональными данными

Обезличивание данных проводится в случаях, предусмотренных законодательством.

В частности государственные и муниципальные органы обезличивают персональные данные, обрабатываемые в информационных системах, в том числе функционирующих и созданных и в рамках обеспечения реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211).

Под обезличиванием понимают действия, позволяющие сделать невозможным определение принадлежности персональных данных конкретному человеку без применения дополнительной информации (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

Руководитель организации утверждает основные правила работы с обезличенными данными в целях защиты персональных данных работников. Требование обезличивать персданные позволяет обеспечить защиту и предотвратить их несанкционированную обработку.

Какая ответственность предусмотрена за нарушения при работе и защите персональных данных работника

Проверки соблюдения требований к обработке и защите персональных данных проводит Роскомнадзор. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312 утвержден Административный регламент по исполнению указанной службой функций по государственному контролю (надзору). Сроки проверки плановой или внеплановой не превышают 20 рабочих дней.

Руководитель обязан обеспечить доступ специалистам Роскомнадзора к документации. По результатам проверки составляют акт, форма которого утверждена приказом Минэкономразвития России от 30 апреля 2009 г. № 141. При выявленных нарушениях выдается предписание с указанными сроками устранения всех нарушений.

Ответственность за нарушение при работе и защите персональных данных

За любые нарушения порядка получения, обработки или хранения и защиты персональных данных работников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (статья 90 ТК РФ, часть 1 статьи 24 Закона от 27 июля 2006 года № 152-ФЗ).

К дисциплинарной или материальной ответственности могут привлечь ответственных сотрудников за работу с персданными, если нарушены действующие правила и это привело к ущербу. За данные нарушения оштрафуют и должностных лиц организации.

К уголовной ответственности могут привлечь руководителя предприятия, ответственных лиц за:

незаконный сбор или распространение конфиденциальных сведений о частной жизни сотрудников, если эти сведения составляют личную или семейную тайну;

незаконное распространение указанных сведений в публичных выступлениях, публичных произведениях или в средствах массовой информации.

Источник: https://www.hr-director.ru/article/67212-zashchita-personalnyh-dannyh-rabotnika-18-m7

Ссылка на основную публикацию