
Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.
По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.
Хранение личных данных – законодательное регулирование
Отношения, связанные с обработкой персональных данных, регулируются:- федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
- главой 14 Трудового кодекса РФ.
Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.
Обработка персональных данных и их защита
Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.
Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.
Получение персональных данных
Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:
- из документов, предъявляемых при заключении трудового договора;
- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
- в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
- от кадрового агентства, действующего от имени соискателя;
- из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
В уведомлении необходимо указать:
- цели получения персональных данных работника у третьего лица;
- предполагаемые источники данных (у кого будет запрашиваться информация);
- способы получения данных, их характер;
- возможные последствия отказа работодателю в получении информации у третьего лица.
Меры защиты персональных данных
Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:- установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
- установить особый порядок выдачи пропусков и удостоверений работников;
- использовать технические средства охраны;
- использовать программно-технический комплекс защиты информации на электронных носителях.
Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.
Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.
В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.
Передача персональных данных
В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:- даты выдачи и возврата документа,
- наименование документа,
- срок пользования,
- цель выдачи,
- Ф.И.О. и должность лица, получившего документ с персональными данными работника.
Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.
Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.
Размер ответственности за нарушения
В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:- на граждан – от 300 до 500 руб.;
- на должностных лиц – от 500 до 1000 руб.;
- на юридических лиц – от 5000 до 10 000 руб.
В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- на граждан – от 500 до 1000 руб.;
- на должностных лиц – от 4000 до 5000 руб.
Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).
Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:
- или штраф в сумме до 200 тыс. руб.,
- или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
- или обязательные работы на срок от 120 до 180 часов,
- или исправительные работы на срок до одного года,
- или арест на срок до четырех месяцев.
- или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
- или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
- или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,