Эксперты ресурса «Кадровая служба и управление персоналом предприятия» выделяют пять самых распространенных ошибок работодателей в вопросах защиты персональных данных. Что делать, чтобы их избежать? Публикуем как раз те случаи, когда можно учиться на чужих ошибках. Итак, топ-5 ошибок.

1. Устаревшие понятия

Практика показывает, что в положениях о персональных данных, которые действуют в компаниях, нередко используются устаревшие понятия. Чаще всего указано определение персональных данных, закрепленное в ст. 85 ТК РФ. Но эта статья утратила силу еще с 01.10.2018*.

 

 

Напомним старую формулировку: «персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника».

 

Однако лучше использовать определение, которое дает ныне действующий п. 1 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»**. Согласно ему персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 

Часто в локальных актах работодателя встречаются и другие, уже устаревшие определения и термины, поэтому стоит регулярно организовывать ревизию ЛНА (локальные нормативные акты – «Капиталист») работодателя, чтобы их выявить и скорректировать тексты.

2. Нет указания, что базы данных расположены на территории России

Компании, особенно международные, зачастую не проверяют и не фиксируют, где именно находятся базы данных, в которых хранится и обрабатывается персональная информация. Кроме того, это не всегда указано и во внутренних документах компании.

 

Согласно же ч. 5 ст. 18 Закона о персданных, работодатель при сборе персональных данных граждан РФ обязан обеспечить их запись, систематизацию, накопление, хранение и пр., используя только базы данных на территории нашей страны.

 

Кстати, если базы не расположены в России, то за это нарушение штрафы, установленные ч. 8 и 9 ст. 13.11 КоАП РФ, просто космические. Так, невыполнение указанной обязанности влечет наложение штрафа:

 

*         на граждан в размере от 13 000 до 50 000 рублей;

 

*         на должностных лиц – от 100 000 до 200 000 рублей;

 

*         на юридических лиц и индивидуальных предпринимателей – от 1 000 000 до 6 000 000 рублей.

 

Повторное нарушение опасно еще большими суммами:

 

*         для граждан штраф может составить от 50 000 до 100 000 рублей;

 

*         для должностных лиц – от 500 000 до 800 000 рублей;

 

*         для юридических лиц и индивидуальных предпринимателей – от 6 000 000 до 18 000 000 рублей.

3. Не прописан актуальный порядок распространения персданных

Не все компании успели прописать порядок распространения данных с учетом последних изменений в законе. Напомним, что из Закона о персданных*** исключили понятие общедоступных персональных данных. Вместо этого появилась категория персональных данных, разрешенных их субъектом (сотрудником, кандидатом, любым в общем-то гражданином) для распространения (ст. 10.1 Закона о персданных).

 

Если раньше обработка данных допускалась без согласия кандидата или работника, потому что он сделал их общедоступными (например, на сайте поиска работы или в соцсети), то теперь персональные данные прямо должны быть разрешены для распространения самим гражданином.

 

Здесь тоже не лишним будет напомнить про ответственность за нарушения в области персональных данных по ч. 2 и 2.1 ст. 13.11 КоАП РФ, которая ужесточилась с 27.03.2021. За обработку персданных без согласия в письменной форме штраф составит:

 

*         для граждан - от 6000 до 10 000 рублей;

 

*         для должностных лиц и индивидуальных предпринимателей – от 20 000 до 40 000 рублей;

 

*         для юридических лиц – от 30 000 до 150 000 рублей.

 

За повторное нарушение штраф возрастет:

 

*         для граждан - от 10 000 до 20 000 рублей;

 

*         для должностных лиц - от 40 000 до 100 000 рублей;

 

*         для индивидуальных предпринимателей - от 100 000 до 300 000 рублей;

 

*         для юридических лиц – от 300 000 до 500 000 рублей.

 

Не забудьте прописать это уточнение во внутренних документах и, самое главное, получить от работников необходимые согласия.

4. Не оформлено обязательство о неразглашении

Еще одна распространенная ошибка – отсутствуют подписанные обязательства о неразглашении персональных данных работников или не указано в ЛНА, что ответственные лица должны подписать такой документ.

 

Между тем работодатель на основании п. 7 ст. 86 ТК РФ в любом случае обязан защитить персональные данные работников от их неправомерного использования или потери. Поэтому компании принципиально важно обязать работников, которые имеют доступ к персданным, не разглашать эту информацию. Иначе работодателя могут признать виновным и в нарушении Закона о персданных, и в нарушении ТК РФ.

 

Кроме того, наказание может понести и сам сотрудник. Пленум Верховного суда РФ разъяснил, что привлечь сотрудника, разгласившего данные другого работника, к ответственности можно, если эта информация стала известна ему в связи с исполнением трудовых обязанностей и он обязался не разглашать такие сведения (п. 43 постановления от 17.03.2004 №2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»). Поэтому оформление обязательства о неразглашении является не просто обязательным, а принципиально важным моментом.

5. Не включена норма о применении взысканий за нарушение правил защиты персданных

Эта ошибка тесно связана с предыдущей. Принимая все риски исключительно на себя, работодатели зачастую не прописывают в ЛНА ответственность своих сотрудников, в частности в Положении о персональных данных.

 

В то же время, если сотрудник по своей вине не выполняет возложенные на него обязанности, к нему могут применять дисциплинарные взыскания. И работника, ответственного за обработку и защиту данных, стоит об этом письменно предупредить, что называется, на берегу. Чтобы он понимал, что работа с персональными данными возлагает на него дополнительные обязанности и влечет серьезную ответственность в случае их невыполнения (ненадлежащего выполнения).

Чем грозит разглашение информации о работнике

Каждый работодатель сталкивается с получением, обработкой, хранением, использованием и передачей персональных данных сотрудников. В компаниях разрабатываются локальные акты, с которыми обязательно знакомят всех работников под подпись, назначаются ответственные лица. Но что делать, если произошла утечка информации, содержащейся, например, в заявлении сотрудника?

 

Далее рассмотрим порядок действий организации в случае разглашения каких-либо сведений о работнике, которые были адресованы только руководителю или иному уполномоченному лицу, а не всему коллективу. Ответим на вопрос, является ли информация из объяснительной записки сотрудника его персональными данными.

 

Поводом для написания статьи стал вопрос от читателя, написавшего в редакцию.

 

«Написал генеральному директору объяснительную записку. На следующий день все в офисе знали и обсуждали ее подробности. Разве такого рода записки не являются конфиденциальной информацией?».

 

Представим, что сотрудник опоздал на работу. После появления на рабочем месте он написал и передал своему руководителю (генеральному директору) объяснительную записку, в которой изложил причины отсутствия. На следующий день все коллеги были в курсе личных проблем сотрудника. При этом сам работник никого не посвящал в подробности. Стало понятно, что начальник рассказал всему отделу о содержании объяснительной.

 

Возможны и иные схожие ситуации, например: кадровик ознакомился с трудовой книжкой сотрудника и рассказал по секрету парочке коллег из других подразделений о предыдущих местах работы и причинах увольнения с них.

 

Давайте разберемся, можно ли привлечь к какой-либо ответственности руководителя или сотрудника отдела кадров за разглашение личной информации работника. Выясним, все ли кадровые документы содержат персональные данные. Проведем анализ: кто и в каком размере может понести наказание за утечку информации о зарплате сотрудников?

Персональные данные или нет?

Персональные данные – это любая информация, относящаяся к определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных). К ним относятся:

 

фамилия, имя, отчество;

 

пол;

 

возраст;

 

место жительства;

 

изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;

 

образование, квалификация, профессиональная подготовка;

 

семейное положение, наличие детей, родственные связи;

 

факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);

 

деловые и иные личные качества;

 

медицинские сведения;

 

номер телефона;

 

прочие сведения, которые могут идентифицировать работника.

 

Сведения о заработной плате сотрудника также являются информацией, содержащей его персональные данные (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»).

 

Таким образом, любой документ, в котором содержится какая-либо информация о конкретном работнике, будет являться носителем его персональных данных. Ведь в заявлении о переводе сотрудник может указать сведения о своем заболевании. Или в объяснительной записке работник сошлется на расторжение брака. Не каждый захочет, чтобы личная жизнь стала достоянием общественности.

 

Работодатель не вправе сообщать персональные данные сотрудника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (абз. 2 ст. 88 ТК РФ).

Кого можно привлечь к ответственности

Чтобы привлечь к ответственности сотрудника за разглашение чужих персональных данных, нужно доказать следующее:

 

1) разглашенные сведения относятся к персональным данным другого работника;

 

2) эти сведения стали известны нарушителю в связи с исполнением им трудовых обязанностей;

 

3) сотрудник обязывался не разглашать такую информацию (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»).

 

Таким образом, привлечь к ответственности за разглашение персональных данных можно далеко не каждого.

 

Татьяна Колосова

"Капиталист", иркутский журнал для предпринимателей № 3 (118) Сентябрь - Октябрь 2021 года

• Число просмотров: 318