Как компании избежать штрафов при работе с персональными данными сотрудников

      Комментариев к записи Как компании избежать штрафов при работе с персональными данными сотрудников нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как компании избежать штрафов при работе с персональными данными сотрудников». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Обработка персональных данных
2. Риски при нарушении требований к обработке персональных данных работников организации
3. Рекомендации по сбору и хранению персональных данных
4. В каких случаях потребуется уведомление Роскомнадзора
5. Штрафы за неуведомление Роскомнадзора
6. Что я могу узнать об обработке своих персональных данных?
7. Изучите отношения компании с работниками
8. Нормативные акты и документы по персональным данным (ТК РФ, закон № 152-ФЗ, подзаконные акты)
9. Меры дисциплинарной ответственности
10. Какие права имеет работник относительно своих персональных данных?
11. Источник получения персональных данных
12. Что будет за нарушение закона о персональных данных
13. В каких случаях согласие на обработку от сотрудника не нужно

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • — на граждан — от 500 до 1 000 руб.;
  • — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
  • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
  • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Рекомендации по сбору и хранению персональных данных

Компании стоит уделить особое внимание организации мер по сбору, хранению и систематизации персональных данных. Это обеспечит защиту от претензий надзорных органов, исковых заявлений от действующих и бывших работников и кандидатов на вакансии.

Что нужно сделать в обязательном порядке:

  • разработать Положение о персональных данных, прописать в нём основные условия сбора, хранения и обработки;
  • издать приказ о вводе в действие Положения и ознакомить персонал под подпись;
  • назначить сотрудника, отвечающего за обработку персональных данных, подписать с ним соглашение о неразглашении;
  • собрать со всех работников согласия в письменном виде с перечислением типов персональных данных и целей их предоставления;
  • организовать хранение данных в цифровом и бумажном виде, защитить их от доступа третьих лиц, а также обеспечить своевременность пополнения и корректировки.
Читайте также:  Получите консультацию прямо сейчас!

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

  • получаемых и обрабатываемых в рамках трудового законодательства;
  • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
  • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
  • разрешенных физлицом для распространения;
  • включающих в себя только фамилии, имена и отчества физлиц;
  • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Что я могу узнать об обработке своих персональных данных?

Согласно Федеральному Закону «О защите прав потребителей», вы имеете право требовать предоставление информации о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных. Продавец должен предоставить такую информацию в течение семи дней со дня предъявления указанного требования в письменной форме, а в устной форме такая информация должна быть предоставлена незамедлительно.

Положения 152-ФЗ гласят, что вы имеете право запросить у оператора (и получить ответ в срок не более 10 рабочих дней) информацию, связанную с обработкой ваших персональных данных, а именно:

  1. Подтверждение факта обработки

  2. Правовые основания и цели обработки

  3. Цели и применяемые оператором способы обработки

  4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона

  5. Обрабатываемые персональные данные, относящиеся к вам, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

  6. Сроки обработки, в том числе сроки хранения

  7. Порядок осуществления вами прав, предусмотренных 152-ФЗ

  8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных

  9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу

  10. Информацию о способах исполнения оператором обязанностей, установленных 152-ФЗ

  11. Иные сведения, предусмотренные 152-ФЗ или другими федеральными законами

Если после вашего запроса информации, связанной с обработкой ваших персональных данных, вы считаете, что оператор использует их незаконно (например, передает третьим лицам) и/или эти действия ущемляют ваши интересы, то вы можете:

  • уточнить свои персональные данные, направив верную на текущий момент информацию (оператор обязан обеспечить уточнение в течение семи рабочих дней со дня представления таких сведений, а до этого заблокировать такие данные);

  • отозвать согласие на обработку персональных данных с пометкой причины отзыва (неправомерной обработки – оператор обязан прекратить неправомерную обработку в срок, не превышающий трех рабочих дней с даты выявления).

Изучите отношения компании с работниками

Если работодатель нарушил федеральный закон о персональных данных, работник вправе подать исковое заявление в суд. Решение суда выносится не в пользу нанимателя, наоборот, он обязан возместить истцу моральный ущерб и соблюдать законодательство. В дальнейшем, нечестивую организацию будут неоднократно проверять и держать на контроле соответствующие органы, а потенциальным сотрудникам не стоит опасаться за свои персональные данные.

Читайте также:  Можно ли прописаться на участке без дома с адресом ИЖС

Судебные тяжбы работодателя со своими подчиненными можно узнать, исходя из судебной практики организации: были ли споры, связанные с персональными данными или нет. Наконец, существует большое количество сайтов, где можно почитать отзывы сотрудников о любой организации.

Если у компании в наличии огромное количество трудовых споров по персональным данным (передача посторонним лицам, утеря или разглашение), необходимо задуматься о правильности выбора данного места работы.

Нормативные акты и документы по персональным данным (ТК РФ, закон № 152-ФЗ, подзаконные акты)

Вопросам работы с личными данными работников посвящены статьи 86–90 ТК РФ. Однако при применении перечисленных статей практикам следует учитывать, что основным нормативным актом, которым регулируется порядок работы с личной информацией работников, является закон «О персональных данных» от 27.07.2006 № 152-ФЗ.

Указанный ФЗ содержит определение основных терминов, используемых при обработке личной информации, перечень мер, направленных на защиту прав работников и порядок их применения в организации, а также примерный перечень внутренних документов организации, которые необходимы для регламентации работы сотрудников с персональными данными.

Меры дисциплинарной ответственности

Дисциплинарная ответственность представляет собой особый вид наказания, который может быть применен работодателем по отношению к своим подчиненным. Если говорить о таком нарушении, как распространение личных сведений, данный вид ответственности может быть применен по отношению к виновному сотруднику. Например, очень часто речь идет о работниках отдела кадров. Как известно, именно они получают доступ к личным сведениям сотрудников. Им сдаются трудовые книжки новых подчиненных, копии их паспортов, ИНН и т.д. Следовательно, работник отдела кадров всегда должен надлежащим образом относиться к сохранению данной информации и не допускать ее распространения за пределы организации.

Если же вышеуказанное обязательство не было выполнено подчиненным, значит, у работодателя появится законное право на применение надлежащих мер ответственности. Положения трудового законодательства устанавливают лишь три разновидности:

  1. Замечание. Его можно назвать наименее строгой мерой. Очень часто оно применяется в том случае, если нарушение было совершено подчиненным в первый раз. В подобной ситуации с сотрудником может быть проведена подробная беседа для исключения повторения таких неприятных случаев в будущем.
  2. Выговор. Он является более серьезной мерой ответственности. Работодатель может выбрать ее в том случае, если за сотрудником подобное нарушение фиксируется уже во второй раз. Сведения о вынесении данной меры ответственности могут быть занесены в личное дело подчиненного.
  3. Увольнение. Именно эту меру ответственности можно назвать максимально серьезным дисциплинарным наказанием со стороны работодателя. Она выражается в принятии директором одностороннего решения относительно увольнения подчиненного. Оно может быть принято только при наличии у директора всех неоспоримых доказательств вины конкретного служащего.

Бизнес: • Банки • Богатство и благосостояние • Коррупция • (Преступность) • Маркетинг • Менеджмент • Инвестиции • Ценные бумаги: • Управление • Открытые акционерные общества • Проекты • Документы • Ценные бумаги — контроль • Ценные бумаги — оценки • Облигации • Долги • Валюта • Недвижимость • (Аренда) • Профессии • Работа • Торговля • Услуги • Финансы • Страхование • Бюджет • Финансовые услуги • Кредиты • Компании • Государственные предприятия • Экономика • Макроэкономика • Микроэкономика • Налоги • Аудит
Промышленность: • Металлургия • Нефть • Сельское хозяйство • Энергетика
Строительство • Архитектура • Интерьер • Полы и перекрытия • Процесс строительства • Строительные материалы • Теплоизоляция • Экстерьер • Организация и управление производством

Какие права имеет работник относительно своих персональных данных?

Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя, закреплены в ст. 89 ТК РФ.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

  • на полную информацию об их персональных данных и обработке этих данных;
  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • на определение своих представителей для защиты своих персональных данных;
  • на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
  • на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите своих персональных данных.
Читайте также:  Как вернуть 18 НДС

Источник получения персональных данных

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы.
Давайте разберемся, можно ли привлечь к какой-либо ответственности руководителя / сотрудника отдела кадров за разглашение личной информации работника. Выясним, все ли кадровые документы содержат персональные данные. Проведем анализ: кто и в каком размере может понести наказание за утечку информации о зарплате сотрудников. В статье рассмотрим нестандартные ситуации, возникающие на практике.

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

Персональные данные работника — конфиденциальная информация. Это значит, что их нельзя разглашать ее без письменного согласия сотрудника (ст. 3 Закона №152-ФЗ).

Что будет за нарушение закона о персональных данных

Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность.

Подавляющее большинство действий, осуществляемых работодателем с персональными сведениями о человеке, требует наличия письменного согласия работника (п. 1 ст. 9 закона РФ от 27.07.2006 № 152-ФЗ). Такое согласие обычно берут уже в момент оформления на работу, учитывая, что сбор персональных данных начинается непосредственно с момента трудоустройства.

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Согласно Трудовому кодексу РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

В каких случаях согласие на обработку от сотрудника не нужно

Согласие не берется, если обработка ПД происходит для того, чтобы:

  • выполнить обязанности, которые необходимы для исполнения закона. Например передача данных в налоговую военкомат и тд;
  • исполнить решение из судебного акта или договора;
  • защитить жизнь, здоровье или какие-то жизненно важные интересы, а согласие, при этом, получить невозможно;
  • проинформировать граждан в интернете о медицинской деятельности сотрудников медорганизаций, об уровне образования и квалификации медработников;
  • внести персданные близких родственников сотрудника в объеме личной карточки по форме № Т-2;
  • узнать, есть ли у сотрудника медицинские противопоказания к работе;
  • оформить документы, которые необходимы для того, чтобы направить сотрудника в командировку;
  • самостоятельно организовать пропускной режим в компании (без привлечения сторонней охранной организации);
  • вести налоговый и бухгалтерский учет уволенного сотрудника.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *