Ответственность за нарушения при работе с персональными данными

Содержание

Ответственность за нарушения при работе с персональными данными – Бухгалтерия

Ответственность за нарушения при работе с персональными данными

Персональные данные (ПДн) – это информация, которая содержит не только личные данные человека (ФИО, дата и место рождения, образование, регистрационные номера индивидуальных документов). При работе с персональными данными физические и юридические лица, должностные сотрудники обязаны выполнять требования нормативных актов о правилах сбора, хранения и использования.

Из этой статьи вы узнаете:

  • как может быть наказан нарушитель закона о персональных данных;
  • какая уголовная ответственность предусмотрена за нарушение закона о персональных данных;
  • в чем может быть выражена гражданско-правовая ответственность за нарушение закона о персональных данных.

Правомерные условия и принципы обработки персональных данных, права обладателя (работника) и обязанности оператора (работодателя) по сбору, сохранению и обеспечению безопасности личных документов и всех видов данных регламентируется Федеральным законом № 152-ФЗ, вступившим в силу 27 июля 2006 года. Помимо основного закона, к федеральным нормативным актам, регламентирующим ответственность за нарушения в области защиты персональных данных, относятся:

  • Федеральный закон № 149-ФЗ от 27. 07. 2006 «Об информационных технологиях и о защите информации», № 261 от 25. 07. 2011;
  • Трудовой кодекс – глава 14 ст. 86-90 ТК РФ;
  • Уголовный кодекс РФ – ст. 137 УК РФ, ст. 140 УК РФ, ст. 272 УК РФ;
  • Кодекс об административных нарушениях – ст. 5.39, ст. 13.11, ст. 13. 12, ст. 13.13, ст. 13.14;
  • Гражданский кодекс РФ – ст. 150-152 ГК РФ, ст. 946 ГК РФ.

Федеральным органом, который контролирует правильность и правомерность обработки персональных данных в соответствии с законодательством является Роскомнадзор, имеющий 65 территориальных отделения. Ответственность за нарушение закона о персональных данных в зависимости от типа и характера подвергается различного рода взысканиям и наказаниям.

О персональных данных: образце согласия на обработку персональных данных, читайте далее

Дисциплинарная ответственность за нарушение закона о персональных данных

Дисциплинарная ответственность может быть наложена на сотрудников организации, персонал кадрового и бухгалтерского отдела в случае разглашения личной информации и данных о работниках без их согласия. Действия работодателя или сотрудников компании, имеющих официальный доступ к персональным данным сотрудников, могут быть обжалованы и рассмотрены в судебном порядке.

При выявлении нарушений в процедуре обработке, сохранения и предоставления ПДн ответственные сотрудники могут быть наказаны административно – получить замечание, выговор или подвергнуться увольнению за несоответствие занимаемой должности. Увольнение может быть инициировано руководством организации за разглашение любой тайной информации, к которой в том числе относятся и персональные данные всех сотрудников.

Уголовная ответственность за нарушение закона о персональных данных

Уголовный кодекс РФ предусматривает различные категории ответственности за нарушение закона о персональных данных:

  1. По статье 137 УК РФ – за нарушение неприкосновенности частной жизни. Под эту статью могут попасть граждане, которые неправомерно собирают или публично распространяют любые сведения, касающиеся личной/частной жизни, придают огласке семейные тайны посредством выступлений или через средства массовой информации. При применении данной статьи уголовная ответственность может быть выражена в виде штрафа до 200 тыс. рублей, лишение свободы до 2 лет. Когда виновник при этом использует свое служебное положение и нарушает должностные обязанности – штраф до 300 тыс. рублей, срок лишения свободы может быть увеличен до 4 лет, запрет на право занимать определенную должность или осуществление конкретного вида деятельности до 5 лет.
  2. По статье 140 УК РФ – уголовная ответственность за нарушение закона о персональных данных может наступить при неправомерном отказе должностного лица в правомерном предоставлении ПДн. Статья предусматривает наказание в виде штрафа до 200 тыс. рублей, запрет на работу в определенной сфере или на должности сроком от 2 до 5 лет.
  3. Статья 272 УК РФ – ответственность за незаконный доступ к охраняемой компьютерной информации, то есть, данным, находящимся в памяти компьютера или на машинном носителе. Наказание в этой статье предусмотрено в виде штрафа размером до 200 тыс. рублей лишение свободы сроком до 2 лет.

Административная ответственность за нарушение закона о персональных данных

КоАП предусматривает ответственность по таким статьям:

  1. Статья 5.39 — отказ должностного лица в предоставлении информации гражданину/адвокату на законных основаниях. Чревато наложением штрафных санкций от 1 до 3 тыс. рублей.
  2. Статья 13.11 – нарушение законодательно установленной процедуры сбора, хранения, использования и распространение ПДн. Предполагает предупреждение или штраф для физ. лица в размере от 300 до 500 руб., для должностного лица – от 500 до 1000 рублей, для компании/организации – от 5 до 10 тыс. рублей.
  3. Статья 13.12 – нарушение правил защиты персональных данных и тайной информации. Предполагает наказание за использование несертифицированных систем, неустановленных баз и сомнительных банков информации для физ. лиц штраф от 500 до 2000 руб., для должностных лиц – от 2500 до 3000 руб., для организаций – от 20 до 25 тыс. рублей.
  4. Статья 13.13 – деятельность в области защиты информации без правомерно оформленного федерального разрешения/лицензии считается незаконной. При нарушении этого закона на гражданина может быть наложен штраф от 500 до 1000 руб., на должностное лицо – от 2 до 3 тыс. руб., на организацию – от 10 до 20 тыс. руб. Если информация составляет государственную тайну, наказание соответственно увеличивается до 4-5 тыс. руб. для должностных лиц, до 30-40 тыс. руб. с конфискацией нелицензионных средств защиты для организаций.
  5. Статья 13.14 – ответственность за разглашение информации, доступ к которой ограничен федеральным законом, при исполнении служебных и должностных обязанностей (в том числе при выполнении адвокатских услуг). Может быть применено наказание в виде штрафа для гражданских лиц – 500-1000 руб., для должностных лиц – 4-5 тыс. руб.

Гражданско-правовая ответственность за нарушение закона о персональных данных

Гражданский кодекс предусматривает защиту частных, семейных данных, деловой информации/репутации. Это отражено в статьях 150, 151 и 152 ГК РФ, тайна страхования – ст. 946 ГК РФ. Степень ответственности и наказание по этим нормативным актам определяется в судебном порядке. Наказание может быть выражено в виде денежной компенсации за нанесенный моральный ущерб.

Рекомендуем материалы по теме:

Источник:

Прописана ответственность за нарушения при работе с персональными данными

1 июля вступит в силу новая редакция ст. 13.11 КоАП РФ, в которой прописана ответственность за нарушения при работе с персональными данными. За что накажут и какие штрафы придется заплатить, рассказывает эксперт.

Проверять компании будет Роскомнадзор. Порядок проверок прописан в приказе Минсвязи РФ от 14 ноября 2011 г. № 312.

Сейчас за нарушение порядка сбора, хранения, использования или распространения персональных данных максимальный штраф для юридических лиц — 10 000 рублей, для должностных — 1000 рублей.

С 1 июля все изменится. Новая редакция статьи 13.11 КоАП РФ разрастется до 7 частей — с указанием специального состава. Штрафы станут ощутимее.
С 1 июля за нарушения в области персональных данных наказывать будут за конкретные, а не за общие правонарушения.

За что и как накажут: избранные нарушения

    1. Самым «дорогим» будет штраф за обработку персональных данных без письменного согласия граждан. В согласии должны быть указаны: ФИО, адрес гражданина (сотрудника), удостоверяющий личность документ, наименование и адрес компании, цель обработки персональных данных и их перечень и проч. (ст. 9 Федерального закона от 27.07.

      2006 № 152-ФЗ «О персональных данных»).Письменное согласие работника обязательно, например, при обработке биометрических данных и спецкатегорий персональных данных о расовой, национальной принадлежности, политических и религиозных убеждениях.

      Размер штрафа составит: для должностных лиц — от 10 000 до 20 000 рублей, для юридических лиц — от 15 000 до 75 000 рублей.

      Предполагаю, что применение ответственности будет аналогично процессу с трудовыми договорами (ст. 5.27 КоАП РФ) — за каждый неправильно оформленный документ. Покажет это первый срез инспекционной практики во второй половине 2017 года.

    Источник: https://buchgalterman.ru/programmy/otvetstvennost-za-narusheniya-pri-rabote-s-personalnymi-dannymi.html

    Персональные данные: что грозит за нарушение закона

    Ответственность за нарушения при работе с персональными данными

    Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

    Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

    К персональным данным могут быть отнесены:

    • фамилия, имя, отчество;
    • пол, возраст;
    • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
    • место жительства;
    • семейное положение, наличие детей, родственные связи;
    • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

    Кстати, сведения о заработной плате относятся к персональным данным.

    Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

    Можно ли номер телефона отнести к персональным данным?

    Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

    Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

    Поэтому номер телефона сам по себе не относится к персональным данным.

    А вот фотография относится к биометрическим персональным данным.

    Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

    Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

    Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

    Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

    С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

    23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

    Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

    За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

    Дисциплинарная ответственность

    Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

    Материальная ответственность

    Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

    Административная ответственность

    С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

    Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

    11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

    То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

    Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

    Практическая ситуация

    В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

    Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

    Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

    То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

    Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

    • на граждан — от 500 до 1 000 руб.;
    • на должностных лиц — от 4 000 до 5 000 руб.

    С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

    Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

    Уголовная ответственность

    Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

    • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
    • либо обязательными работами на срок от 120 до 180 часов;
    • либо исправительными работами на срок до одного года;
    • либо арестом на срок до четырех месяцев.

    Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

    • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
    • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
    • либо арестом на срок от четырех до шести месяцев.

    Подведем итоги

    Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

    • от всех ли работников получено согласие на обработку персональных данных;
    • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
    • должным ли образом осуществляется хранение и защита персональных данных;
    • соответствует ли документация об их обработке требованиям законодательства и т.д.

    Источник: https://School.Kontur.ru/publications/1624

    Разглашение персональных данных: закон и ответственность, запрет на распространение и сбор без согласия

    Ответственность за нарушения при работе с персональными данными

    Защита конфиденциальности информации является обязанностью государства. Именно поэтому принимаются правовые нормы в сфере неразглашения третьим лицам личной информации. Наказание в данной ситуации может быть в виде штрафов и иного рода лишений. Разберёмся подробнее с этим вопросом.

    Что такое персональные данные и конфиденциальность

    Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.

    Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.

    Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.

    Какие персональные данные нельзя разглашать

    Необходимо определить, распространение и раскрытие каких данных находится под запретом. К персональным данным гражданина можно отнести:

    1. Фамилия.
    2. Дата рождения.
    3. Отчество.
    4. Имя.
    5. Семейное положение.
    6. Имущественное положение.
    7. Паспортные данные.
    8. Доходы.
    9. Статус работника или безработного и др.

    Именно эти сведения разглашению не подлежат. Единственным исключением, когда данные могут использоваться и обрабатываться, является согласие самого их правообладателя. Как правило, такое согласие оформляется в форме письменного документа, в котором излагается запрос от организации на право обрабатывать подобного рода информацию.

    За разглашение персональных данных сторонним лицам предусмотрена ответственность в рамках российского законодательства.

    Установит, какие сведения можно отнести к персональным и получить ответы на другие важнейшие вопросы в этой сфере можно обратившись к ФЗ «О защите персональных данных». Более конкретно об этом мы пишем ниже.

    Субъективные признаки разглашения

    Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.

    Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор.

    Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом.

    Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.

    Специфическими персональными сведениями являются тайны. Сюда относится, например, тайна усыновления. Такие личные данные гражданина распространению не подлежат.

    В том случае, если такая информация кому-либо стала известна без согласия усыновителя, правонарушители могут быть привлечены к ответственности по уголовной статье.

    Куда жаловаться на нарушение закона о персональных данных

    Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

    Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

    Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.

    Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.

    Какую закон регламентирует ответственность за распространение персональных данных

    Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

    • административная;
    • уголовная.

    Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

    Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

    Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.

    Административная ответственность за обработку персональных данных без согласия, штрафы

    Это правонарушение влечет за собой административную ответственность. Это статья 13.11 КОАП РФ. В зависимости от того, кто именно является нарушителем, предусмотрен и различный размер штрафных санкций.

    Если закон нарушил гражданин, то он обязан уплатить штраф в казну государства в размере до трех тысяч рублей.
    Если это юридические лица – до пятидесяти тысяч рублей.


    В случае, если нарушение закона исходило от должностного лица, то возникает обязательство уплаты штрафа в размере до десяти тысяч рублей.

    Юридическим же лицам за нарушение закона о неразглашении придется уплатить до семидесяти пяти тысяч рублей.

    Конкретного термина «распространение» в кодексе об административных правонарушениях нет, однако есть термины и понятия, косвенно затрагивающие незаконное распространение.

    Непосредственное распространение личной информации раскрывается в рамках уголовного законодательства, о чем будет сказано ниже.

    Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными

    Ответственность за нарушения при работе с персональными данными

    • Новости
    • Трудовые отношения

    Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными

    11 сентября 2014

    Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей. Однако для контролирующих органов размер компании и количество работников значения не имеют.

    Причем, в случае выявления нарушений реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. А им зачастую является бухгалтер.

    Давайте попробуем разобраться, насколько серьезны штрафы и что должны делать бухгалтеры или кадровики, чтобы их избежать.

    На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки. Согласно статье 13.11 КоАП РФ штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее должностного лица.

    Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

    Ответственность организации

    Кроме того, если в компании не утверждено Положение о персональных данных, то возможно наступление административной ответственности за нарушение трудового законодательства по статье 5.27 КоАП РФ.

    Штраф может составить от 30 до 50 тыс. рублей. Также возможно административное приостановление деятельности на срок до девяноста суток.

    Кстати, с 2015 года штраф за повторное нарушение, предусмотренное данной статьей, составит уже от 50 до 70 тыс. рублей.

    Соблюдение законодательства о персональных данных контролирует Роскомнадзор.

    За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей (статья 19.5 КоАП РФ).

    Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей (статья 19.7 КоАП РФ).

    Ответственность работника

    Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен (статья 90 ТК РФ):

    • к административной ответственности
    • к дисциплинарной и материальной ответственности;
    • к гражданско-правовой ответственности;
    • к уголовной ответственности.

    Гражданско-правовая ответственность

    Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии гражданским законодательством (статья 151 ГК РФ).

    Проверки

    Как уже говорилось выше, ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор).

    Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ).

    Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

    Официальная информация

    В 2013 году в рамках осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства в области персональных данных проведено 2 418 проверок (еще в 2011 году таких проверок было значительно меньше — 1 743 проверки).

    Из них 1 801 плановая и 617 внеплановых проверок.
    В 2013 году рост количества плановых проверок был связан, прежде всего, с увеличением количества операторов, отказывавшихся выполнять требования Федерального закона  от 27.07.

    06 № 152-ФЗ «О персональных данных» ввиду неосуществления, по их мнению, деятельности по обработке персональных данных.

    Источник: сайт Роскомнадзора

    Положение о персональных данных

    Теперь попробуем выяснить, что же требуется сделать, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов.

    Вопросы обработки персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Соблюдать требования этого закона должны все организации и ИП, у которых есть хотя бы один работник.

    Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от физических лиц, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

    Главным документом, который должен иметь любой работодатель, является положение о персональных данных. Принять этот локальный акт, регулирующий порядок хранения и использования персональных данных работодателя обязывает статья 87 Трудового кодекса.

    В положении обычно прописывают все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

    На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

    Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (см. образец «Согласие на обработку персональных данных»). А значит, не лишним будет сразу разработать и утвердить форму такого заявления.

    На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.   Далее может следовать раздел «Доступ к персональным данным».

    В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций). При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.

    Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т п.   Продолжит Положение раздел «Порядок обработки и передачи данных».

    Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным  органам или лицам. В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.

    Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.   А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.  

    Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость  Уголовного кодекса (ст. 137 УК РФ).
    Положение о персональных данных можно разработать, взяв за основу разработанный нашим юристом образец «Положение о работе с персональными данными».  

    Однако кроме положения контролирующие органы в ходе проверок интересуются и другими документами. Назовем некоторые из них.

    Приказ руководителя о назначении ответственного

    Руководитель должен издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (см.

    образец «О назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное лицо)»), так и подразделение (см.

    образец «Приказ о назначении ответственного за работу с персональными данными и обеспечение их защиты (ответственное подразделение)»). В последнем случае личную ответственность несет руководитель такого подразделения.

    Перечень персональных данных

    Также потребуется утвердить документ, содержащий перечень персональных данных (см. образец «Приказ об утверждении перечня персональных данных»), которые реально используются в деятельности организации.

    Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

     

    В этом перечне должны быть:

    • заявление о приеме на работу;
    • анкета сотрудника;
    • личная карточка;
    • личное дело;
    • трудовой договор;
    • приказы;
    • трудовая книжка;
    • материалы аттестационных комиссий.

    Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т п.), то эти отчеты тоже нужно включить в перечень.

    Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

    Журнал учета персональных данных

    Работодатели обязаны соблюдать режим конфиденциальности персональных данных (статья 7 Закона № 152-ФЗ).

    В подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации.

    Заметим, что форма такого журнала не установлена, поэтому разработать ее требуется самостоятельно.

    Внешняя и внутренняя защита персональных данных

    Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.

    Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

    Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).

    Возможное решение

    Очевидно, что решение вопросов, касающихся персональных данных, может отнимать у бухгалтера очень много времени: требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать и заполнить их.

    Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется бухгалтеру, чтобы организовать работу с персональными данными в соответствии с требованиями закона.

    Сэкономить время и сосредоточиться на своей основной работе можно с помощью веб-сервиса «Персональные данные». Он автоматически формирует все необходимые приказы, акты, уведомления и положения, необходимые для работы с персональными данными.

    Вопросы, возникающие в ходе совершения действий, бухгалтер прямо со страницы сервиса может задать эксперту и получить оперативный ответ. Когда все действия завершены, остается только распечатать подготовленные сервисом документы и подписать их.

    Впоследствии сервис будет напоминать, что пора провести определённое мероприятие, закреплённое в комплекте документов, а также следить за изменениями законодательства и информировать о том, что надо сделать после вступления поправок в силу.

    Год работы в сервисе с данными одной организации или ИП стоит 6 тысяч рублей. Однако часть необходимых документов бухгалтер может подготовить в «Персональных данных» бесплатно. Для этого достаточно пройти по ссылке, которую вы видите чуть ниже.

    Подготовить документы в сервисе «Персональные данные»

    Источник: https://www.Buhonline.ru/pub/beginner/2014/9/9010

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.