Какова ответственность инспектора отдела кадров, если было разглашение персональной информации?

Ответственность за разглашение персональных данных работника

Какова ответственность инспектора отдела кадров,  если было разглашение персональной информации?

“Кадровик. Кадровое делопроизводство”, 2007, N 1

Ответственность за разглашение персональных данных работника

(Тематический обзор)

Конституцией РФ установлено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени.

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. ст. 23, 24 Конституции РФ).

В то же время при приеме на работу от соискателя часто требуют предоставления сведений личного характера. Но кто будет нести ответственность за сохранность этих данных?

Согласно ст. 85 Трудового кодекса РФ персональными данными работника признается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Принимая на работу нового сотрудника, работодатель должен сообщить ему о целях получения персональных данных, о характере подлежащих получению персональных данных работника, а также предупредить о последствиях отказа сотрудника дать письменное согласие на получение таких сведений.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, о частной жизни, а также данные о членстве в общественных объединениях или его профсоюзной деятельности (ст. 86 ТК РФ). В соответствии со ст.

24 Конституции РФ в случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Работодатель при принятии решений, затрагивающих интересы сотрудника, не имеет права основываться на его персональных данных, предоставленных исключительно в результате автоматизированной обработки или электронного получения. Руководитель обязан обеспечить защиту персональных данных сотрудника от неправомерного использования или утраты.

Работников следует ознакомить под расписку с документами организации, которые устанавливают порядок обработки персональных данных, а также об их правах и обязанностях в этой области, при этом сотрудники не должны отказываться от прав на сохранение и защиту тайны. Работодателям, работникам или их представителям необходимо совместно вырабатывать меры защиты личных сведений, закрепив это требование в Положении о персональных данных работника.

Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации; в правоохранительных органах; страховых агентствах; туристических и гостиничных фирмах; в некоторых подразделениях муниципальных органов самоуправления и т.д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, то есть в отделе кадров.

Вид нарушенияПредусмотренное наказаниеЧем установлено
Нарушение порядка сбора, хранения, использования или распространенияперсональных данных

Штраф для должностных лиц – от 500 до 1000 руб.; для юридических лиц –

от 5000 до 10 000 руб.

Статья 13.11
КоАП РФ

Нарушение законодательствао трудеШтраф для должностных лиц – от 500 до 5000 руб.; для юридических лиц – от30 000 до 50 000 руб.Статья 5.27 КоАП РФНарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущербработодателюМатериальная ответственность работника в пределах его среднего месячного заработка (ст. ст. 238,241 ТК РФ)Статья 238 ТКРФНенадлежащее хранение и использование персональных данных, повлекших за собой ущербработникуВозмещение морального вреда работнику в денежной форме в размерах, определенных трудовым договором (ст. 237 ТК РФ); возмещение материального ущерба работнику в полномобъеме (ст. 235 ТК РФ)Статья 234 ТКРФРазглашение служебной тайны, ставшей известной работнику при выполненииим трудовых обязанностейМатериальная ответственность работника; дисциплинарная ответственность работника (ст. ст. 192,195 ТК РФ) вплоть до расторжения трудового договора по пп. “в”п. 6 ст. 81 ТК РФПункт 7 ст. 243 ТК РФНарушение неприкосновенностичастной жизниУголовная ответственностьСтатья 137 УКРФНеправомерный доступ к охраняемой закономкомпьютерной информацииУголовная ответственностьСтатья 272 УКРФ

Информация о персональных данных может быть получена (из документов и устной беседы) при заключении трудового договора между предполагаемым работником и работодателем. Статьей 65 ТК РФ определен перечень документов, предъявляемых при заключении договора:

– паспорт или иной документ, удостоверяющий личность;

– трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

– страховое свидетельство государственного пенсионного страхования;

– документы военного учета;

– документ об образовании, квалификации или наличии специальных знаний или специальной подготовки, а также иные документы, предусмотренных законодательством.

Ответственность за распространение персональных данных несет в первую очередь работодатель, а также ответственные лица: отдел кадров или работник, отвечающий за сохранность этих данных, согласно условиям трудового договора или должностной инструкции.

Работа отдела кадров любой организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов персональных данных сотрудников организаций.

Эти сведения являются конфиденциальными, поскольку составляют информацию о фактах, событиях и обстоятельствах личной или семейной жизни гражданина и подлежат защите в соответствии с законом (Федеральный закон от 20.02.1995 N 24-ФЗ “Об информации, информатизации и защите информации”).

В связи с этим отдел кадров должен обеспечить безопасность таких сведений, их защиту от угроз со стороны потенциальных злоумышленников, которые могут использовать данные в противозаконных целях.

Главное условие защиты персональных данных – четкая регламентация функций работников отдела кадров, а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность согласно федеральным законам (ст. 90 ТК РФ).

К сотруднику, отвечающему за хранение персональной информации в силу его трудовых обязанностей, работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ, а именно замечание, выговор и увольнение.

Работодатель может расторгнуть трудовой договор по своей инициативе при разглашении охраняемой законом тайны, ставшей сотруднику известной в связи с исполнением им трудовых обязанностей (пп. “в” п. 6 ст. 81 ТК РФ). Помимо этого сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности.

Так, ст.

137 УК РФ устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 000 руб.

или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Защита конфиденциальных данных предусмотрена ст. 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило ее, то на него будет наложен административный штраф в размере от 40 до 50 МРОТ.

К уголовной и административной ответственности привлекаются руководитель организации, подразделения, виновный в разглашении персональных данных работника, или же другое должностное лицо, отдавшее распоряжение использовать то или иное ограничение или самостоятельно исполнившее данное распоряжение.

Н.Свиридова

юрист

Подписано в печать

25.12.2006

  • Кадровое делопроизводство

Оцените публикацию

Источник: //hr-portal.ru/article/otvetstvennost-za-razglashenie-personalnyh-dannyh-rabotnika

Персональные данные: что грозит за нарушение закона

Какова ответственность инспектора отдела кадров,  если было разглашение персональной информации?

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2018 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2018 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: //school.kontur.ru/publications/1624

Какую ответственность несет работодатель за разглашение специалистом отдела кадров персональных данных работников?

Какова ответственность инспектора отдела кадров,  если было разглашение персональной информации?

Ответ: За разглашение работником отдела кадров персональных данных других работников работодатель может быть привлечен к административной ответственности по ст. 13.

11 Кодекса РФ об административных правонарушениях, в случае если будет доказана его вина.

Также на работодателя может быть возложена обязанность возмещения морального и материального вреда работникам, чьи персональные данные распространены.

Обоснование: Из п. 7 ст. 86 Трудового кодекса РФ следует, что защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств.

Статья 88 ТК РФ устанавливает общее правило о запрете передачи персональных данных работника третьим лицам без письменного согласия работника.

Таким образом, на работодателя возложена обязанность обеспечить сохранность персональных данных работника.

Согласно ст. 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

В связи с разглашением специалистом отдела кадров персональных данных работника работодатель может нести административную ответственность, предусмотренную ст. 13.11 КоАП РФ.

В соответствии со ст. 13.11 КоАП РФ установлена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Тот факт, что персональные данные разглашены специалистом отдела кадров, не освобождает работодателя-организацию от административной ответственности. Частью 2 ст. 2.

1 КоАП РФ предусмотрено, что юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.

Вина работодателя — индивидуального предпринимателя определяется в форме умысла или неосторожности по правилам ст. 2.2 КоАП РФ.

Если индивидуальный предприниматель ознакомил специалиста отдела кадров с порядком обработки персональных данных и разъяснил недопустимость разглашения персональных данных третьим лицам, то он может избежать административной ответственности в связи с отсутствием вины в совершении административного правонарушения.

На работодателя может быть возложена обязанность возместить моральный вред работникам, персональные данные которых незаконно распространены.

Согласно ч. 1 ст. 237 ТК РФ моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя, возмещается работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора. При наличии спора работник вправе обратиться за защитой нарушенных прав в суд.

Тот факт, что персональные данные распространены работником кадровой службы, не освобождает работодателя от обязанности возместить моральный вред работнику. Это связано с тем, что обязанность обеспечить сохранность персональных данных возложена именно на работодателя (ст. ст. 86, 88 ТК РФ).

Также на работодателя может быть возложена обязанность возмещения материального вреда, причиненного работнику.

ТК РФ не предусматривает возможности возмещения работнику материального вреда, кроме случаев незаконного лишения возможности трудиться (ст. 234 ТК РФ), ущерба, причиненного имуществу работника (ст.

235 ТК РФ), и за задержку выплаты заработной платы и других выплат, причитающихся работнику (ст. 236 ТК РФ).

Однако обязанность работодателя возместить вред вытекает из общих правил гражданского законодательства о возмещении вреда.

В соответствии с п. 1 ст. 1064 Гражданского кодекса РФ вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред.

В силу п. 1 ст. 1068 ГК РФ юридическое лицо либо гражданин возмещает вред, причиненный его работником при исполнении трудовых (служебных, должностных) обязанностей.

Работник и работодатель могут заключить соглашение о размере и порядке компенсации материального вреда работнику.

Кроме того, согласно ст. 238 ТК РФ работник, разгласивший персональные данные, обязан возместить работодателю причиненный прямой действительный ущерб. Под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам.

Таким образом, если вред работнику был допущен по вине работника отдела кадров, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с п. 7 ч. 1 ст.

243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

При наличии спора работник вправе обратиться с иском к работодателю в суд.

А. Н.Губин

Консультационно-аналитический центр

по бухгалтерскому учету

и налогообложению

20.09.2012

——————————————————————

Источник: //center-bereg.ru/z18654.html

За персональные данные теперь штрафуют строже. Что важно проверить

Какова ответственность инспектора отдела кадров,  если было разглашение персональной информации?

С 1 июля 2018 года за неправильную работу с персональными данными работодателя будут штрафовать на 75 000 рублей. У Роскомнадзора теперь есть семь оснований для этого. Кроме того, ведомство получило право самостоятельно наказывать работодателей (ст. 13.11, п. 58 ч.

2 ст. 28.3 КоАП РФ). Раньше штрафы применяла прокуратура. Чтобы у директора не было нареканий к кадрам по поводу сохранности персональных данных, проверьте себя на предмет ошибок в работе с помощью нашего теста. Ваши ответы покажут, какими суммами может рисковать компания.

 

Когда нужно получать у работников согласие на обработку персональных данных

Проверяющие выяснят, получала ли кадровая служба согласие работника на обработку данных в случаях, когда оно требуется. Не всем понятно, когда согласие предполагается по умолчанию, а когда нужен письменный документ.

Пояснения. Поскольку сотрудник выступает стороной трудового договора, получать у него согласие на обработку персональных данных не обязательно. Но собирать информацию о сотруднике работодатель может строго в ситуациях, указанных в законе, коллективном договоре и локальных актах (п. 2, 5 ч. 1 ст.

6 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 1, 2 Разъяснений Роскомнадзора от 14 декабря 2012 г., далее – Разъяснения). Например, работодатель вправе без согласия сотрудника обрабатывать персональные данные, которые получил: 
– по результатам обязательного предварительного медосмотра (ст. 69 ТК РФ, п.

3 Разъяснений);
– из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК РФ);
– от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений);
– из резюме кандидата, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст.

6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).

Не требуется согласие и на обработку данных в объеме, предусмотренном личной карточкой формы № Т-2. В том числе можно запросить у работника информацию о его близких родственниках (п. 2 Разъяснений).

Чтобы узнать дополнительную информацию о работнике, например, номер его мобильного телефона или адрес личной электронной почты, потребуется согласие. Ведь если такие сведения отсутствуют, это не мешает исполнять трудовой договор.

Поэтому, чтобы исключить спорные ситуации, рекомендуем все же при приеме на работу получить у сотрудника письменное согласие на обработку данных и включить в него информацию, которая нужна для эффективного взаимодействия с работодателем.

Пояснения. Чтобы изготовить пропуск, получите письменное согласие работника использовать его фотографию. В этом случае фото нужно, чтобы идентифицировать человека, а значит, оно относится к биометрическим персональным данным.

Их можно обрабатывать только с письменного согласия работника (ч. 1 ст. 11 Закона № 152-ФЗ).

Поэтому, если организация применяет пропускную систему и оформляет электронные пропуска, по которым можно установить личность, она должна заручиться письменным согласием каждого сотрудника на обработку фотографии1.

Если письменное согласие не получить, Роскомнадзор выдаст предписание (постановление Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 г. № 15АП-22502/2013).

За обработку биометрических персональных данных без письменного согласия работодателю как минимум сделают предупреждение или оштрафуют.

Для должностных лиц штраф может составить от 10 000 до 20 000 рублей, для организаций – от 15 000 до 75 000 рублей (ч. 2 ст. 13.11 КоАП РФ).

Как хранить в кадровой службе документы, содержащие персональные данные

Много вопросов вызывает хранение личных документов работников в кадровой службе организации. Разберемся, какие есть ограничения и нужно ли проставлять на документах с персональными данными специальные грифы.

Пояснения. Работодатель нарушает закон, если собирает и хранит лишние данные о сотрудниках. Роскомнадзор может обязать компанию устранить нарушение, а с 1 июля 2018 года – объявить предупреждение или оштрафовать.

За это нарушение закон предусматривает наказание в виде предупреждения или штрафа. Для должностных лиц штраф может составить от 5000 до 10 000 рублей, для организаций – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Работодатель вправе собирать только те данные о сотруднике, которые нужны, чтобы исполнять трудовой договор или закон. Нельзя обрабатывать лишнюю информацию «на всякий случай» (п. 2 ст. 86 ТК РФ, ч. 5 ст. 5 Закона № 152-ФЗ).

Установить личность соискателя при приеме на работу можно, если он предъявит паспорт (ст. 65 ТК РФ).

Чтобы заполнить титульный лист трудовой книжки или личную карточку, достаточно попросить работника показать свидетельство о заключении или расторжении брака, рождении ребенка, военный билет и т. п.

Закон не требует, чтобы работодатель оставлял копии личных документов сотрудников у себя.

Если кадровая служба хранит копии паспорта, страниц военного билета, свидетельств, то Роскомнадзор признает, что она обрабатывает избыточные персональные данные и нарушает права сотрудника.

Суды в таких спорах поддерживают надзорный орган (постановления ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013, от 11 марта 2014 г. по делу № А53-10287/2013).

Чтобы избежать претензий Роскомнадзора, уничтожьте копии паспортов и иных документов сотрудников, хранить которые в компании закон не требует. Если понадобится уточнить какие-то сведения, попросите сотрудника показать оригинал документа.

Пояснения. Проставлять на папках с документами, которые содержат персональные данные, гриф ограничения доступа к документу не обязательно. Закон не устанавливает такого требования.

Работодатель должен исключить неправомерный или случайный доступ к персональным данным, в том числе к тем, которые хранятся на материальных носителях, то есть личным делам, трудовым книжкам, приказам и прочей кадровой документации (ч. 1 ст.

9 Закона № 152-ФЗ). Конкретные меры защиты и требования к местам хранения носителей персональных данных компания определяет самостоятельно в положении о защите персональных данных (п.

13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Обычно документы на бумажных носителях хранят в сейфах или металлических несгораемых шкафах с замками либо специально оборудованных помещениях. Доступ к документам должны иметь только сотрудники, включенные в перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ.

Кого можно привлечь к ответственности за разглашение персональных данных

Все кадровики имеют дело с персональными данными. Но доступ к ним могут иметь и другие сотрудники организации. Выясним, как утвердить список таких работников и кого можно уволить за разглашение персональных данных.

Скачать и распечатать образец

Пояснения. Работодатель должен приказом утвердить перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться персональные данные2 (образец выше). Обычно в перечень входят генеральный директор, его заместители, сотрудники кадровой службы, бухгалтерии, службы безопасности, юридического отдела и т. д.

В перечне нужно указать Ф.И.О. конкретных работников, а не список должностей. Если сотрудник уволится, в перечень вносят изменения.

Если перечень лиц, которые обрабатывают персональные данные, отсутствует или в нем указаны не Ф.И.О.

работников, а должности, Роскомнадзор выдаст предписание (постановление Четырнадцатого арбитражного апелляционного суда от 21 января 2013 г. по делу № А44-5910/2012).

Пояснения. Уборщицу нельзя уволить по инициативе работодателя за разглашение персональных данных других сотрудников, так как о размере зарплат она узнала не в связи со своими обязанностями. Функционал уборщицы не предполагает работы с персональными данными, и она не подписывает обязательство их не разглашать.

Сотрудника, который разгласил персональные данные другого работника, можно уволить по инициативе работодателя (подп. «в» п. 6 ч. первой ст. 81 ТК РФ). Но это допустимо, если одновременно выполняются два условия (п. 7 ст. 86 ТК РФ, п.

43 постановления Пленума Верховного суда РФ от 17 марта 2004 г. № 2):– такие сведения работник получил в связи с исполнением им трудовых обязанностей;

– сотрудник подписал обязательство о неразглашении персональных данных (образец ниже).

Скачать и распечатать образец

1. Если вы обрабатываете только те данные, которые нужны для исполнения трудового договора, это законно и без согласия сотрудника. Однако возможны споры о составе таких данных, поэтому безопаснее заручиться согласием сотрудника в письменном виде.

2. Не храните в кадровой службе копии паспортов и иных документов сотрудников. Чтобы уточнить какую-то информацию, просите сотрудника показать необходимый документ.

3. Утвердите перечень работников, которые обрабатывают персональные данные, и получите у них обязательство не разглашать такую информацию. Иначе вы не сможете привлечь их к ответственности за утечку персональных данных.

Источник: //e.kdelo.ru/569455

Образец приказа о персональных данных работников

Какова ответственность инспектора отдела кадров,  если было разглашение персональной информации?

Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях.

Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир.

Есть случаи и помельче, на уровне организаций (например, использование сотрудницами отдела кадров страниц с личной информацией сотрудников в качестве черновиков-«обороток», размещение в открытом доступе сведений об учениках образовательных учреждений или пациентах клиник).

Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных. Тем не менее, поисковая фраза «скачать образец приказа о защите персональных данных работников 2021 год» находится на лидирующих позициях в поисковых системах. И на это есть вполне понятные причины.

Отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей, нужно организовать защиту персональных данных так, как этого требует глава 14 ТК РФ и закон № 152-ФЗ. В статье мы коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.

Организация защиты (пакет документов)

Руководитель предприятия должен своим приказом назначить одного из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот их небольшой перечень:

  • политика организации в отношении персональных данных (в данном случае будет составлен образец приказа об утверждении политики обработки персональных данных в целом по организации);
  • положение об обработке и защите конфиденциальной информации (приказ на утверждение положения о защите персональных данных);
  • перечень лиц, имеющих к ней доступ;
  • согласие на обработку (в общем случае согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т. д.);
  • соглашение о неразглашении;
  • журнал учета передачи данных.

Порядок разработки и утверждения

Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011 № 312.

Для того чтобы у инспектора не было повода «принимать меры», нужно подготовить документы, перечисленные выше, и утвердить их приказами руководителя.

Основополагающим станет распоряжение об утверждении Положения — смотрите образец приказа об утверждении положения о персональных данных (2021 год).

Образец приказа о персональных данных работников 2021

Скачать

Крайне важно соблюдать правило, сформулированное в ст. 86 ТК РФ: все, что мы знаем о работнике, мы должны узнать от него самого.

В крайнем случае можно обратиться к так называемой третьей стороне, если работник не владеет необходимой информацией (забыл, потерял…), но только с его ведома (например, запросить копию диплома в архиве вуза).

Работника необходимо поставить об этом в известность и получить его согласие: это делается в форме заявления-согласия на получение сведений у третьей стороны.

Все это надо прописать в положении, с которым работник должен быть ознакомлен до момента подписания трудового договора.

Допуск к персональным данным

Персональные данные работников — это, образно говоря, «золото и бриллианты», доступ к которым ограничен даже для сотрудников организации. Кто будет иметь к ним доступ — решает директор.

Общие требования по работе в данном направлении прописываются в положении (образец приказа об утверждении положения о защите персональных данных 2021 году можно сделать в свободной форме, унифицированной формы данного документа не существует).

В то же время отдельным нормативным документом пишут, кто, когда и с какой целью имеет доступ к тем или иным персональным данным. Полный допуск, как правило, имеют:

  • генеральный директор и его заместитель по безопасности;
  • начальник отдела кадров.

Остальные специалисты, в том числе и бухгалтеры, могут иметь доступ только к той информации, которая им необходима для выполнения своих должностных обязанностей.

Особые случаи

Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию или студент получает диплом о высшем образовании).

В этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника).

Однако это распоряжение не относится к документам, наличие которых продиктовано ФЗ-152, — это один из стандартных приказов по кадрам.

Скачать

Есть информация, которая является максимально конфиденциальной (см. образец приказа о допуске к персональным данным работников), и попытки выведать у сотрудника, в каких он состоит сообществах, каковы его религиозные убеждения, как он себя чувствует и каких политических взглядов придерживается, незаконны. Однако существует длинный перечень условий, при которых это все-таки возможно (ст. 10 ФЗ № 152-ФЗ). К таким исключениям (среди прочих) относятся, например, случаи получения мотивированных запросов (содержащих цель запроса, обоснование компетенции органа и правовые основы запроса) прокуратуры, органов МВД или Трудовой инспекции, а также информация медицинского характера, если она необходима для оказания помощи больному. Действительно, пациенты медицинских организаций очень чувствительны к соблюдению приватности, но их защищает обязанность медработника соблюдать врачебную тайну (ст. 73 ФЗ № 323-ФЗ).

Медицинская организация обязана особенно внимательно относиться к обработке данных и готовить свою, отраслевую документацию, например иметь приказ о утверждении положения о защите персональных данных и приказ «Перечень персональных данных пациентов, подлежащих защите».

Как организовать работу с персональными данными на предприятии, видео

Источник: //clubtk.ru/forms/personalnyye-dannyye/obrazets-prikaza-o-personalnykh-dannykh-rabotnikov-2018

Законовед
Добавить комментарий