Разглашение персональных данных: ответственность

4737
Ответственность за разглашение персональных данных ложится на плечи работодателя. С середины текущего года в действии новая редакция КоАП. Она вводит ряд самостоятельный видов нарушений Закона № 152 ФЗ “О персональных данных”, а также значительно увеличиваются размеры штрафов. Новые положения закона о разглашении персональных данных значительно расширяют не только сферу его воздействия, но также конкретизируют виды наказания. Ответственность за не соответствующие действия с персональными данными также прописаны в КоАП. В нашей статье мы подробно остановимся на всех нарушениях и опишем пути их избежания.

Изменения в защите личной информации работников в 2017 году

1 июля 2017 года вступит в силу новая редакция ст. 13.11 КоАП. Ст. 2 Федерального закона от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Что в связи с этим изменится:

СЕЙЧАС С 1 ИЮЛЯ
ЗА ЧТО МОГУТ НАКАЗАТЬ Одно нарушение — «установленного законом порядка сбора, хранения, использования или распространения данных» (ч. 1 ст. 13.11 КоАП) Шесть самостоятельных нарушений
НА СКОЛЬКО МОГУТ НАКАЗАТЬ Минимум предупреждение, максимум штраф 10 тыс. руб. Штраф: минимум 3 тыс. руб., максимум 75 тыс. руб.
КТО МОЖЕТ НАКАЗАТЬ Прокурор Должностное лицо Роскомнадзора

Сейчас за любое нарушение работы с личными данными грозит ответственность по ч. 1 ст. 13.11 КоАП. В том числе ответственность за разглашение. Максимальный штраф для компании — 10 тыс. руб., должностного лица — 1 тыс. руб.

Прочитайте полезные статьи по теме:

С 1 июля 2017 г. появится шесть самостоятельных оснований привлечь к ответственности за нарушения в работе с такой информацией.

Вас и компанию могут наказать, если:

  1. Нарушили правила обработки личной информации.
  2. Не получили письменные согласия сотрудников, когда этого требует законодательство.
  3. Не опубликовали документ, который определяет политику в области персданных или сведения по их защите.
  4. Не предоставили сотруднику информацию об обработке его личных сведений.
  5. Не уточнили, не заблокировали или не уничтожили персданные по требованию сотрудника.
  6. Нарушили правила хранения таких сведений — если это привело к несанкционированному доступу и неправомерным действиям.

Посмотрите видео по теме:

Наказания за эти нарушения будут различаться. Самое «дорогое» — обработка сведений без согласия работника. За это компанию могут оштрафовать на 75 тыс. руб. «Дешевле» всего — в 3 тыс. руб. — обойдется необеспечение неограниченного доступа к документу, который определяет политику вашей компании по обработке персданных. Это минимальный размер штрафа для должностного лица.

Рассмотрим каждое из новых оснований ответственности за нарушения федерального закона о персданных. А также разберем, что сделать, чтобы этой ответственности избежать.

Нарушили правила обработки личных сведений, предусмотренных положением об их защите

За что и как накажут. К административной ответственности привлекут, если:

  • обрабатываете личные сведения в не предусмотренных законом случаях;
  • цель обработки несовместима с целями их сбора.
КОГО НАКАЖУТ КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 5 тыс. до 10 тыс. руб. Часть 1 ст. 13.11 КоАП
Организация Предупреждение или штраф от 30 тыс. до 50 тыс. руб.

Что учесть в работе с 152 ФЗ

Содержание и объем сведений, которыми Вы обрабатываете, должны соответствовать заявленным целям сбора (ч. 5 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

Вы можете обрабатывать личные сведения сотрудников, чтобы (п. 1 ст. 86 ТК):

  • соблюдать требования законодательства;
  • содействовать сотрудникам в трудоустройстве, получении образования и др.;
  • обеспечить личную безопасность персонала;
  • контролировать количество и качество выполняемой работы;
  • сохранить имущество.

Вы обрабатываете персданные, если совершаете с ними любое действие, в т. ч.:

  • собираете,
  • записываете,
  • систематизируете,
  • накапливаете,
  • храните,
  • уточняете,
  • извлекаете,
  • используете,
  • разглашаете,
  • обезличиваете,
  • блокируете,
  • удаляете,
  • уничтожаете.

При этом передача сведений означает разглашение персональных данных или предоставление доступа к ним (п. 3 ст. 3 152-ФЗ). Разглашение персональных данных допускается только в установленных случаях.

Изменения в защите личных данных работников в 2017 относительно согласия на обработку

За что и как накажут. К ответственности привлекут, если:

  • обработали сведения без письменного согласия сотрудника, когда такое требование предусмотрено законодательством;
  • в согласии на обработку нет установленных сведений.
КОГО НАКАЖУТ КАК НАКАЖУТ, ЕСЛИ ДЕЙСТВИЯ НЕ СОДЕРЖАТ УГОЛОВНО НАКАЗУЕМОГО ДЕЯНИЯ НА КАКОМ ОСНОВАНИИ
Должностное лицо Штраф от 10 тыс. до 20 тыс. руб. Часть 2 ст. 13.11 КоАП
Организация Штраф от 15 тыс. до 75 тыс. руб.

Что учесть в работе. Если возникнет спор, придется доказывать, что сотрудник дал согласие на обработку (ч. 3 ст. 9 152-ФЗ). Обрабатывать такие сведения работников вы можете с их письменного согласия (п. 1 ч. 1 ст. 6 152-ФЗ).

Пример

Вы не можете собирать, хранить, распространять и использовать любую информацию о частной жизни. В т. ч. сведения о происхождении, месте пребывания или жительства, личной и семейной жизни, без согласия работника (п. 4 ст. 86 ТК, п. 1 ч. 2 ст. 10 152-ФЗ). Даже если сведения такого характера появились в Вашем распоряжении распространение персональных данных незаконно.

Однако есть исключительные случаи, когда вы не должны получать согласие на разглашение данных. Такие случаи перечислены в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 152-ФЗ, абз. 2 ст. 88 ТК.

Пример

Без согласия работников медорганизация вправе размещать в общедоступном месте и публиковать на сайте данные:

  • о врачах,
  • об уровне их образования и квалификации (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 7 ч. 1 ст. 79 Закона от 21.11.2011 № 323-ФЗ).

Изменение состава сведений в положении о защите персональных данных 2017

Требования к составу сведений в письменном согласии на обработку личных сведений устанавливает ч. 4 ст. 9 Закона № 152-ФЗ. Учитывайте эти требования и в случае, когда письменное согласие получать не обязательно, но вы решили его запросить.

Согласие на обработку персданных (приложение) включает:

  • фамилию, имя, отчество, адрес работника;
  • наименование работодателя;
  • цель обработки личной информации;
  • перечень личных сведений, на обработку которых он дает согласие;
  • перечень действий с личными данными, на совершение которых работник дает согласие;
  • описание используемых вами способов обработки полученных сведений;
  • срок, в течение которого действует согласие, а также способ его отзыва.

Сотрудник может подписать согласие лично на бумаге либо поставить электронную подпись на электронном документе (ч. 4 ст. 9 Закона № 152-ФЗ).

Публичность политики и разглашение персональных данных: изменения 2017

За что и как накажут. К ответственности привлекут, если не обеспечите свободный доступ:

  • к документу, который определяет политику в отношении обработки личных сведений;
  • сведениям о реализуемых требованиях к защите информации.
КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 3 тыс. до 6 тыс. руб. Часть 3 ст. 13.11 КоАП
Организация Предупреждение или штраф от 15 тыс. до 30 тыс руб.
Прочитайте полезные статьи по теме:

Что учесть в работе. В компании должны быть:

  • документы, которые определяют политику в отношении обработки личной информации;
  • сведения о реализуемых требованиях к их защите.

Эти документы нужно утвердить и опубликовать на сайте или предоставить к ним свободный доступ (ч. 2 ст. 18.1 152-ФЗ).

Содержание “Политики конфиденциальности” в ФЗ 152

Как правило, документ, который определяет политику в отношении обработки личных сведений, называют «Политика конфиденциальности». Этот документ касается данных персональных любых лиц и содержит разделы:

  • обращение к субъектам персданных;
  • личные данные, которые собирает и обрабатывает оператор;
  • цели сбора и обработки;
  • условия их обработки;
  • условия при разглашении данных: кому, в каких целях и на каких условиях;
  • общую характеристику мер защиты;
  • права субъектов;
  • порядок изменения политики.

Сведения или меры по защите сведений можете закрепить в отдельном локальном акте. Если храните и обрабатываете персданные в электронных информационных системах, то локальный акт должен соответствовать требованиям нормативных актов:

  • постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Прочитайте полезные статьи по теме:

Не предоставление сотруднику сведений об обработке его личной информации согласно ФЗ 152

За что и как накажут. К ответственности привлекут, если не проинформировали работника об обработке его персданных.

КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 4 тыс. до 6 тыс. руб. Часть 4ст. 13.11 КоАП
Организация Предупреждение или штраф от 20 тыс. до 40 тыс. руб.

Что учесть в работе. Сотрудник вправе получать информацию о своих персданных и их обработке. Исключения установил абз. 2 ст. 89 ТК, ч. 7, 8 ст. 14 152-ФЗ.

Пример

Работник вправе попросить подтвердить, что вы обрабатывали его личные данные. Вы обязаны удовлетворить просьбу и описать с какой целью и как обрабатывали его персданные.

Кроме того, вы обязаны предоставить ему свободный доступ к его личным данным и возможность получить копию любой записи, которая их содержит (абз. 3 ст. 89 ТК, ч. 1 ст. 18 Закона № 152-ФЗ). Предоставить сведения вы должны в течение 30 дней с даты получения запроса (ч. 1 ст. 20 Закона № 152-ФЗ).

Прочитайте полезные статьи по теме:

Обновление и уничтожение персданных с учетом изменений

За что и как накажут. К наказанию привлекут, если по требованию сотрудника вы не уточните, не заблокируете или не уничтожите личные данные, которые:

  • являются неполными или неточными;
  • устарели или были получены незаконно;
  • не нужны для заявленной вами цели обработки.
КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 4 тыс. до 10 тыс. руб. Часть 5ст. 13.11 КоАП
Организация Предупреждение или штраф от 25 тыс. до 45 тыс. руб.

Что учесть в работе. Сотрудник вправе потребовать исключить или исправить неверные или неполные данные, а также сведения, которые вы обработали с нарушением законодательства.

Кроме того, он вправе потребовать известить всех, кому вы ранее сообщили неверные или неполные персданные, об изменениях, которые в них внесли.

Если работник обратился с таким требованием, выполните его. Откажете — сотрудник может обжаловать ваше решение в суде (абз. 6, 8 ст. 89 ТК).

Прочитайте полезные статьи по теме:

Нарушение правил хранения в ФЗ 152

За что и как накажут. К ответственности привлекут, если обрабатываемые без средств автоматизации персданные на материальных носителях уничтожены, изменены, заблокированы и т. п. Ответственность за разглашение персональных данных также может возникнуть при нарушении правил хранения.

КОГО НАКАЖУТ КАК НАКАЖУТ НА КАКОМ ОСНОВАНИИ
Должностное лицо Предупреждение или штраф от 4 тыс. до 10 тыс. руб. Часть 5ст. 13.11 КоАП
Организация Предупреждение или штраф от 25 тыс. до 50 тыс. руб.

Что учесть в работе. Вы должны защищать личные данные:

  • от неправомерного или случайного доступа к ним;
  • уничтожения, изменения, блокирования, копирования, предоставления, разглашения и иных неправомерных действий.

Как будете защищать персданные, определяете сами. Учтите, что меры должны быть необходимыми и достаточными. Не забудьте закрепить перечень таких мер в локальном акте (ч. 1 ст. 18.1, ст. 19 Закона № 152-ФЗ).

Есть личные данные, которые обрабатывают без средств автоматизации. Для такой информации установите Правила ее обработки, которые осуществляют без использования средств автоматизации. Этот документ должен соответствовать Положению (утв.постановлением Правительства РФ от 15.09.2008 № 687).

Содержание Правил обработки персданных в ФЗ 152

В Правилах укажите:

  • лиц, которые осуществляют обработку персданных без средств автоматизации;
  • необходимые меры по обеспечению сохранности персданных;
  • лиц, которые отвечают за защиту личной информации работников.

Права и обязанности работников, которые осуществляют неавтоматизированную обработку, определите в ЛНА, трудовых договорах и должностных инструкциях. Лицо, которому поручается организовать обработку, назначьте приказом (ч. 1 ст. 22.1 Закона № 152-ФЗ) и не забудьте ознакомить с Правилами.

Кроме того, у вас должны быть документы, подтверждающие, что вы:

  • проинформировали работников, которые осуществляют неавтоматизированную обработку персданных, о ее правилах и категориях сведений;
  • ознакомили их с требованиями нормативных правовых актов в этой сфере.

Кадровые документы держите в закрываемых помещениях, шкафах и сейфах. Вы должны их хранить так, чтобы исключить несанкционированный доступ к ним.

С 1 июля 2017 года ужесточают наказание за нарушения в работе с личными данными. При этом соблюдение вами требований к работе с такой информацией могут проверить не только по плану, но и по жалобе работника. Будьте внимательны при работе с личными данными и не нарушайте установленные законом требования. Ведь закон о персональных данных содержит четко прописанные требования.

Читайте в этом месяце

    Узнать подробнее >>>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      Актуально


      Рассылка




      PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Свидетельство о регистрации электронных СМИ № ФС77-40332 от 23 июня 2010 года

      
      • Мы в соцсетях
      Зарегистрируйтесь на сайте и скачайте файл!

      Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Ваш подарок придет на указанный при регистрации Email
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль