17.11.2019

Ошибки допускаемые работодателем при работе с персональными данными

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ошибки допускаемые работодателем при работе с персональными данными». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.

Трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей.

Как уже говорилось выше, ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор). Однако права налагать и взыскивать штрафы у этой организации нет.

Содержание:

Положение о персональных данных

Как заполнять показатели бухгалтерской отчетности Формы бухгалтерской отчетности, утвержденные приказом Минфина от 02.07.2010 № 66н, содержат показатели, отражающие финансовое и имущественное положение организации.

Обратите внимание, что персональные данные собираются не только при оформлении на работу. Таких перечней, как и целей, может быть несколько. Один перечень — для соискателей, другой — для оформляемых на работу, третий — для направляемых на стажировку, переподготовку и т.п., четвертый — для оформления льгот и т.д. Главное, чтобы все основания сбора персональных данных не были забыты.

В контексте Закона о персональных данных все работодатели являются операторами информационных систем персональных данных работников, что налагает на них целый ряд обязанностей. Нарушение требований законодательства грозит применением мер ответственности, в частности административной.

По ее мнению, идентифицировать человека невозможно, поскольку форма содержала всего три элемента: имя, тема и текст сообщения. Причем графа «имя» для заполнения необязательна. Однако эти доводы суд не убедили, и штраф отменить не удалось (постановление Тамбовского областного суда от 04.10.2016 по делу №4А-288).

Ошибка №2. Передача личных сведений посторонним лицам

Перечислить стандартные категории (Ф. И. О., дату и место рождения, адрес, образование и пр.) компании обычно не забывают. Хотя некоторые данные, например паспортные или данные из свидетельства о рождении, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона, банковские реквизиты работника, работодатели порой не указывают, считая, что «они нужны по закону» и перечислять их нет необходимости.

Теперь попробуем выяснить, что же требуется сделать, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов.

Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.

Личные карточки работников заполняются в их присутствии. Кроме того, трудовой договор содержит положение о согласии работника на обработку персональных данных. Однако суд решил, что эти доводы не могут быть основанием для отмены административного наказания (постановление Самарского областного суда от 22.08.2016 №4а-907/2016).

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц.

Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.

Теоретически, любой работодатель должен уведомлять Роскомнадзор о том, что собирается обрабатывать персональные данные.

Обычно в организации таким локальным нормативным актом признается отдельное Положение о защите персональных данных.

Персональные данные: как работать по закону?

Гражданин задолжал банку по кредиту. Банк заключил агентский договор с коллекторской фирмой «Морган энд Стаут». По условиям договора банк передал персональные данные заемщика, и коллекторы начали звонить ему и его родным, требуя погасить долг. Однако согласие на обработку и передачу персональных данных третьим лицам должник не давал.

Однако это не значит, что эти данные могут использованы в целях какой-либо дискриминации и разделения работников на какие-либо классы.

Персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством.

Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.

Прописана ответственность за нарушения при работе с персональными данными

Так, ФАС Московского округа в Постановлении от 1 ноября 2006 г., 8 ноября 2006 г. N КА-А40/10787-06 установил, что организация в период своей деятельности нарушила требование ст. ст. 85 — 87 ТК РФ, что выразилось в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области.

В связи с этим суд посчитал привлечение организации к административной ответственности по ч. 1 ст. 5.27 КоАП РФ правильным <1>.

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно.

Я, Загоушинский Александр Вениаминович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» даю согласие на получение моих персональных данных о предыдущих местах работы, периодах трудовой деятельности, деловых качествах от третьих лиц.

Так, работодателю нужно указать, скажем, следующее: «Обработка персональных данных осуществляется для реализации трудовых взаимоотношений с работниками». Возможно, придется указать и другие основания, перечисленные в учредительных документах — уставе, учредительном договоре, положении: «для осуществления видов деятельности, перечисленных в уставе, а именно: …».

Должностных лиц также можно привлечь к ответственности и за отсутствие утвержденного Положения о персональных данных. В этом случае штраф за нарушение трудового законодательства составит от 1 до 5 тыс. рублей.

Согласно п. 7 ст. 86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.

Статьей 6 Закона установлены ограничения на обработку персональных данных. Так, в частности, указано, что обработка персональных данных допускается в случае, если имеется согласие субъекта персональных данных на обработку его персональных данных. Это предполагает, что для обработки персональных данных работника требуется его согласие.

В связи с этим во избежание каких-либо разночтений о способах и целях обработки персональных данных работников рекомендуется все же получать письменное согласие работника с максимально широким перечнем способов обработки.

Законодательство позволяет суммировать штрафы за разные нарушения, поэтому ошибки или небрежное отношение к сведениям о сотрудниках могут обойтись работодателю очень дорого.

Другой повод для беспокойства: в статью 13.11 КоАП РФ введут новые основания для штрафа (Федеральный закон от 07.02.2017 №13-ФЗ).

В зависимости от специфики работы организации перечень документов и самих персональных данных может варьироваться в ту или иную сторону.

Ошибка №5. Сбор сведений о гражданах без локализации

Важным моментом является то, что работники должны быть ознакомлены не только с локальными актами в сфере защиты персональных данных, но и согласно п.8 ст.86 Трудового Кодекса РФ с правами и обязанностями в сфере обработки персональных данных.

С 1 июля 2017 года ответственность за ошибки в этой сфере серьезно возрастет. Перечень нарушений, за которые работодатель может быть привлечен к ответственности, значительно расширен, а кроме того, увеличены размеры штрафов.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

С 1 июля 2017 года ответственность за ошибки в сборе, хранении и обработке персональных данных ужесточается.

Порядок сбора и обработки информации, включая способы и места хранения, меры защиты от несанкционированного распространения. Помимо прочего, здесь обязательно прописывается требование получать сведения только у самого человека или с его письменного согласия у третьих лиц.

Еще одна обильно бумажная, до недавнего времени, тема. Очевидно, что для нормального, с точки зрения контролирующих органов, функционирования предприятия, необходима, по меньшей мере, сотня различных журналов учета, не считая инструкций, распоряжений и предписаний. Пятая часть из них с 2011 года приходится на бумаги, связанные с защитой персональных данных.

Важно! 23 мая Госдума одобрила законопроект об отсрочке для ИП без наемных работников до 2021 года. Все подробности здесь.

Настоящее согласие действует с 05.03.2012 в течение всего срока действия трудового договора. В случае неправомерного использования предоставленных данных, а также по иным причинам согласие может быть отозвано в письменном виде.

Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ.

К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа.

На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки.