Как не нарушить закон о персональных данных

Персональные данные: кому и что грозит за утечку данных работника

Работодатель, оформляя сотрудника на работу, запрашивает у него личные сведения. За их разглашение предусмотрено несколько видов ответственности: от выговора до ареста. Рассказываем, кто и в каком размере несет ответственность за утечку персональных данных работников.

Что считается персональными данными?

Персональные данные — это любая информация, которая относится к определенному или определяемому физическому лицу (ст. 3Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персданным относятся:

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • место жительства;
  • изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
  • образование, квалификация, профессиональная подготовка;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т. д.);
  • деловые и иные личные качества;
  • медицинские сведения;
  • номер телефона;
  • прочие сведения, которые могут идентифицировать работника.

Информация о заработной плате работника тоже является его персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

То есть любой документ, который содержит какие-либо сведения о конкретном работнике, будет носителем его персональных данных.

Что значит «разглашение персональных данных»

Самый важный момент в работе с персональными данными — это их конфиденциальность (ст. 7 Закона № 152-ФЗ). Работодатель не вправе сообщать эту информацию третьей стороне без письменного согласия работника. Исключение — ситуации, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также другие случаи, предусмотренные ТК РФ или иными федеральными законами (абз. 2 ч. 1 ст. 88 ТК РФ).

Но самого термина «разглашение персональных данных» нет ни в Законе № 152-ФЗ, ни в ТК РФ. А вот ответственность за их разглашение есть: она установлена и ТК РФ, и КоАП РФ. Поэтому под разглашением понимают нарушение принципа конфиденциальности.

Кого можно привлечь к ответственности

Привлечь к ответственности за разглашение персональных данных можно далеко не каждого. Сначала нужно доказать следующее:

  • Разглашенные сведения относятся к персональным данным другого работника.
  • Эти сведения стали известны нарушителю в связи с исполнением им трудовых обязанностей.
  • Сотрудник обязывался не разглашать такую информацию (п. 43Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).

Ответственность за разглашение персональных данных

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и даже уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Закона № 152-ФЗ).

Раз в три года Роскомнадзор проводит плановые проверки и отслеживает, как компании выполняют принцип конфиденциальности при работе с персональными данными. Если Роскомнадзор выявит нарушения, то после придет с внеплановой ревизией, чтобы выяснить, устранила ли их компания.

Разберем каждый вид ответственности.

Дисциплинарная ответственность

Работника привлекут к ответственности, если сведения, которые он разгласил:

  • относятся к персональным данным другого работника;
  • стали известны работнику в связи с исполнением им трудовых обязанностей;
  • работник давал обязательство не разглашать сведения.

За это его ждет дисциплинарная ответственность: замечание или выговор (ст. 90 ТК РФ). Кроме того, такого работника могут просто уволить за разглашение охраняемой законом тайны (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли действия работника, который был ответственен за неразглашение персональных данных, нанесли вред другому работнику, то работодатель вправе привлечь виновного к материальной ответственности (п. 7 ч. 1 ст. 243 ТК РФ).

Административная ответственность

Статья 13.11 КоАП содержит семь составов правонарушений, за каждое из которых предусмотрен штраф. Максимальное наказание по ст. 13.11 КоАП РФ — 75 тыс. ₽. По этой статье можно оштрафовать компанию и даже наложить на нее несколько разных штрафов.

Работника, который допустил утечку информации, наказать можно, если он имел доступ к персональным данным на законном основании и был письменно предупрежден об их неразглашении.

Обработка персональных данных без письменного согласия работника влечет штраф (ч. 2 ст. 13.11 КоАП РФ):

— для должностных лиц — от 10 тыс. до 20 тыс. ₽;

— для юридических лиц — от 15 тыс. до 75 тыс. ₽.

С работником, допущенным к обработке персональных данных, подписывается обязательство об их неразглашении. У тех, кто работает с персональными данными: кадровики, бухгалтеры, секретари — условие о неразглашении включается в трудовой договор (ст. 57 ТК РФ).

При приеме на работу нового сотрудника нужно ознакомить с Положением о работе с персональными данными.

Уголовная ответственность

Уголовное наказание предусмотрено в том случае, если раскрыты о сотруднике:

  • сведения о частной жизни;
  • сведения о семейной или личной тайне.

Что делать работодателю, если произошла утечка информации

Важно помнить, что наказать виновных можно в течение шести месяцев со дня совершения проступка.

Шаг 1. Потребовать от работника письменное объяснение (ч. 1 ст. 193 ТК РФ). Если через два рабочих дня объяснения нет, составить акт об этом (ч. 1 ст. 193 ТК РФ).

Можно сформировать комиссию для проведения внутреннего расследования и собрать все имеющиеся доказательства разглашения информации. Но если есть веские доказательства проступка, то можно обойтись и без комиссии.

Шаг 2. Издать приказ о применении дисциплинарного взыскания.

Шаг 3. Ознакомить с приказом сотрудника под подпись в течение трех рабочих дней со дня издания, не считая времени отсутствия сотрудника на работе (ч. 6 ст. 193 ТК РФ). Например, если сотрудник в отпуске, то с момента, когда он выйдет на работу, у работодателя будет три дня, чтобы ознакомить его с приказом. Если сотрудник отказывается подписывать приказ, нужно составить акт об этом (ч. 6 ст. 193 ТК РФ).

Выводы

Чтобы избежать судебных споров, необходимо заранее принять все меры для неразглашения личной информации подчиненных:

  • принять локальные нормативные акты;
  • назначить ответственных лиц;
  • получить письменное согласие на обработку персональных данных от сотрудников;
  • соблюдать конфиденциальность получаемой информации: не хранить в открытом доступе трудовые книжки, личные дела, заявления и другие документы, поступающие от работников.
22
Начать дискуссию