free templates joomla

Персональные данные – 2017: новое в административной ответственности

С 1 июля 2017 года за неправильную работу с персональными данными работодателя будут штрафовать. У Роскомнадзора теперь есть основания для этого. Кроме того, ведомство получило право самостоятельно наказывать работодателей (ст. 13.11п. 58 ч. 2 ст. 28.3 КоАП РФ). Раньше штрафы применяла прокуратура.

czn2017
                                                                                                                      Извлечение:

Федеральный закон от 22.02.2017 N 16-ФЗ "О внесении изменений в главу 5 Федерального закона "О персональных данных" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного...

Статья 1

 Внести в главу 5 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" следующие изменения:

1) наименование изложить в следующей редакции:

"Глава 5. ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ

ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ

ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА";

2) в статье 23:

а) часть 1 изложить в следующей редакции:

"1. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.";

б) дополнить частью 1.1 следующего содержания:

"1.1. Уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации".

Как хранить в кадровой службе документы, содержащие персональные данные

Много вопросов вызывает хранение личных документов работников в кадровой службе организации. Какие есть ограничения и нужно ли проставлять на документах с персональными данными специальные грифы.

Пояснения. Работодатель нарушает закон, если собирает и хранит лишние данные о сотрудниках. Роскомнадзор может обязать компанию устранить нарушение, а с 1 июля 2017 года – объявить предупреждение или оштрафовать. За это нарушение закон предусматривает наказание в виде предупреждения или штрафа. Для должностных лиц штраф может составить от 5000 до 10 000 рублей, для организаций – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Работодатель вправе собирать только те данные о сотруднике, которые нужны, чтобы исполнять трудовой договор или закон. Нельзя обрабатывать лишнюю информацию «на всякий случай» (п. 2 ст. 86 ТК РФ, ч. 5 ст. 5 Закона № 152-ФЗ). Установить личность соискателя при приеме на работу можно, если он предъявит паспорт (ст. 65 ТК РФ). Чтобы заполнить титульный лист трудовой книжки или личную карточку, достаточно попросить работника показать свидетельство о заключении или расторжении брака, рождении ребенка, военный билет и т. п.

Только из оригиналов паспорта, военного билета, иных документов кадровик может получить актуальную информацию. Рискованно хранить в компании и использовать копии документов, которые получили у сотрудника при приеме на работу, ведь сведения в них могли устареть (постановление Пятнадцатого арбитражного апелляционного суда от 17 декабря 2013 г. № 15АП-16132/2013).

Закон не требует, чтобы работодатель оставлял копии личных документов сотрудников у себя. Если кадровая служба хранит копии паспорта, страниц военного билета, свидетельств, то Роскомнадзор признает, что она обрабатывает избыточные персональные данные и нарушает права сотрудника. Суды в таких спорах поддерживают надзорный орган (постановления ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013,от 11 марта 2014 г. по делу № А53-10287/2013).

Чтобы избежать претензий Роскомнадзора, уничтожьте копии паспортов и иных документов сотрудников, хранить которые в компании закон не требует. Если понадобится уточнить какие-то сведения, попросите сотрудника показать оригинал документа.

Отделу кадров сообщили, что компании предстоит проверка Роскомнадзора. Начальник отдела кадров решила проставить на всех делах и документах, содержащих персональные данные, гриф ограничения доступа «Содержит персональные данные». Обязательно ли это делать?

Пояснения. Проставлять на папках с документами, которые содержат персональные данные, гриф ограничения доступа к документу не обязательно. Закон не устанавливает такого требования.

Работодатель должен исключить неправомерный или случайный доступ к персональным данным, в том числе к тем, которые хранятся на материальных носителях, то есть личным делам, трудовым книжкам, приказам и прочей кадровой документации (ч. 1 ст. 9 Закона № 152-ФЗ). Конкретные меры защиты и требования к местам хранения носителей персональных данных компания определяет самостоятельно в положении о защите персональных данных (п. 13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Обычно документы на бумажных носителях хранят в сейфах или металлических несгораемых шкафах с замками либо специально оборудованных помещениях. Доступ к документам должны иметь только сотрудники, включенные в перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ.

Кого можно привлечь к ответственности за разглашение персональных данных

Все кадровики имеют дело с персональными данными. Но доступ к ним могут иметь и другие сотрудники организации. Как утвердить список таких работников и кого можно уволить за разглашение персональных данных.

При проверке инспектор Роскомнадзора выдал работодателю предписание, в котором указал, что ненадлежащим образом оформили перечень лиц, которые обрабатывают персональные данные либо имеют к ним доступ. Нарушение заключалось в том, что в перечне указали должности сотрудников, а не их Ф.И.О. Прав ли инспектор?

Да, прав, по закону требуется указать в перечне Ф.И.О. работников

Верно, нужно указать информацию о конкретных работниках, которые будут работать с персональными данными.

Пояснения. Работодатель должен приказом утвердить перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться персональные данные. Обычно в перечень входят генеральный директор, его заместители, сотрудники кадровой службы, бухгалтерии, службы безопасности, юридического отдела и т. д.

В перечне нужно указать Ф.И.О. конкретных работников, а не список должностей. Если сотрудник уволится, в перечень вносят изменения. Если перечень лиц, которые обрабатывают персональные данные, отсутствует или в нем указаны не Ф.И.О. работников, а должности, Роскомнадзор выдаст предписание (постановление Четырнадцатого арбитражного апелляционного суда от 21 января 2013 г. по делу № А44-5910/2012).

Уборщица случайно узнала размер зарплаты сотрудников и поделилась этой информацией с коллегами. В результате в коллективе разгорелся конфликт. Можно ли уволить уборщицу за разглашение персональных данных других работников?

Пояснения. Уборщицу нельзя уволить по инициативе работодателя за разглашение персональных данных других сотрудников, так как о размере зарплат она узнала не в связи со своими обязанностями. Функционал уборщицы не предполагает работы с персональными данными, и она не подписывает обязательство их не разглашать.

Сотрудника, который разгласил персональные данные другого работника, можно уволить по инициативе работодателя (подп. «в» п. 6 ч. первой ст. 81 ТК РФ). Но это допустимо, если одновременно выполняются два условия (п. 7 ст. 86 ТК РФ, п. 43 постановления Пленума Верховного суда РФ от 17 марта 2004 г. № 2):
– такие сведения работник получил в связи с исполнением им трудовых обязанностей;
– сотрудник подписал обязательство о неразглашении персональных данных (образец ниже).

В организации действует пропускной режим, сотрудникам выдают электронные пропуска с цифровой фотографией. Инспектор Роскомнадзора потребовал у кадровика предъявить документы, подтверждающие согласие работников размещать их фото на пропуске. Таких документов не было, и компании выдали предписание. Прав ли инспектор?

Пояснения. Чтобы изготовить пропуск, получите письменное согласие работника использовать его фотографию. В этом случае фото нужно, чтобы идентифицировать человека, а значит, оно относится к биометрическим персональным данным. Их можно обрабатывать только с письменного согласия работника (ч. 1 ст. 11 Закона № 152-ФЗ). Поэтому, если организация применяет пропускную систему и оформляет электронные пропуска, по которым можно установить личность, она должна заручиться письменным согласием каждого сотрудника на обработку фотографии1.

Если письменное согласие не получить, Роскомнадзор выдаст предписание (постановление Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 г. № 15АП-22502/2013). За обработку биометрических персональных данных без письменного согласия работодателю как минимум сделают предупреждение или оштрафуют. Для должностных лиц штраф может составить от 10 000 до 20 000 рублей, для организаций – от 15 000 до 75 000 рублей (ч. 2 ст. 13.11 КоАП РФ).

Важные выводы:

1. Если вы обрабатываете только те данные, которые нужны для исполнения трудового договора, это законно и без согласия сотрудника. Однако возможны споры о составе таких данных, поэтому безопаснее заручиться согласием сотрудника в письменном виде.

2. Не храните в кадровой службе копии паспортов и иных документов сотрудников. Чтобы уточнить какую-то информацию, просите сотрудника показать необходимый документ.

3. Утвердите перечень работников, которые обрабатывают персональные данные, и получите у них обязательство не разглашать такую информацию. Иначе вы не сможете привлечь их к ответственности за утечку персональных данных.

Нормативная база

- Статьи 25ч. 1 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ, абз. 12 Разъяснений Роскомнадзора от 14 декабря 2012 г.;

- Статья 13.11,п. 58 ч. 2 ст. 28.3КоАП РФ;

- Разъяснения Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»;

- Статья 88 ТК РФ, п. 13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687подп. «в» п. 13 Требований, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119

Материал подготовлен,  отделом трудовых отношений, охраны труда

и взаимодействия с работодателями ГКУ КК ЦЗН Мостовского района

10 октября 2017 года