В частности, статистика за 2016 год наглядно показывает одну из типичных ошибок операторов, в большинстве случаев связанных с кадровой работой (видимо, самым распространенным видом деятельности), а именно:
«Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (часть 4 статьи 9 Федерального закона от 27 июля 2006 г.Попробуем еще раз взглянуть на этот вопрос.№ 152- ФЗ «О персональных данных») — примерно 9% от общего количества выявленных в 2016 году нарушений».
Более того, благодаря нововведениям в законодательстве штрафы значительно выросли.
Так, согласно ст. 13.11 КоАП РФ до 1 июля 2017 года максимальным наказанием для должностного лица был штраф в размере 1 тысячи рублей, для предприятия - до 10 тысяч рублей.
С 1 июля 2017 года вступили в силу изменения, усиливающие административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ).
Поправки вводят дополнительные составы преступлений в ст. 13.11 КоАП РФ и увеличить штрафы.
В частности, закон вводит ответственность юридических лиц за следующие нарушения:
обработка персональных данных в случаях, не предусмотренных законом (ч.1 ст. 13.11 КоАП РФ) - штраф от 30 тысяч до 50 тысяч рублей; обработка персональных данных без согласия в письменной форме, когда закон требует получения такого согласия (часть 2 статьи 13.11 КоАП РФ) - штраф от 15 до 70 тысяч рублей; неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (часть 3 статьи 13.11 КоАП РФ) - штраф от 15 до 30 тысяч рублей.
Работника можно привлечь к административной ответственности, но не только.
Дополнительно он несет материальную (п.
7 ст. 243 ТК РФ), дисциплинарную (п.
«в» п.
6 ч.
1 ст. 81 ТК РФ) и даже уголовную ответственность (п.
часть 2 статьи 137 УК РФ).
К ответственности будет привлечен как сотрудник-нарушитель (например, скопировавший базу данных клиентов на свою флешку и передавший ее конкуренту), так и сотрудник, отвечающий за обработку персональных данных в компании.
А как насчет согласия работника?
Роскомнадзор в своих рекомендациях (полный текст документа доступен).связь ), выделяет 5 основных моментов, когда мы не можем отобрать это у сотрудника.
Обработка персональных данных работника или гражданского служащего не требует получения соответствующего согласия этих лиц при условии, что объем персональных данных, обрабатываемых работодателем, не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовое законодательство и законодательство Российской Федерации о государственной гражданской службе.
Работодатель имеет право без соответствующего согласия обрабатывать персональные данные работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, которые обычно являются приложением к коллективному договору, соглашению, а также локальным актам работодателя.
принятый в порядке, установленном ст. 372 ТК РФ.
Кроме того, работодателю не требуется получать согласие на обработку персональных данных в следующих случаях: 1. Обязанность обрабатывать, в том числе публиковать и размещать персональные данные работников в сети Интернет, предусмотрена законодательством Российской Федерации.
Информация о деятельности медицинских организаций, образовательных учреждений, органов государственной власти и местного самоуправления Например, согласно п.
7 ч.
1 ст. 79 Федерального закона от 21 ноября 2011 г.
N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, о О проводимой медицинской деятельности и о медицинских работниках, об их уровне образования и квалификации.
В соответствии с Правилами размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденными постановлением Правительства Российской Федерации от 18 апреля 2012 г.
N 343, образовательное учреждение обязано разместить ее на своем официальном сайте в сети Интернет и обновить ее в сроки, установленные Законом Российской Федерации от 10 июля 1992 г.
N 3266-1 "Об образовании", в том числе сведения, содержащие следующие персональные данные: фамилия, имя, отчество учредителя образовательного учреждения , его местонахождение, график работы, адрес электронной почты, фамилия, имя, отчество руководителя образовательного учреждения, место его нахождения, график работы, адрес электронной почты, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений.
подразделения, в том числе филиалы и представительства, их местонахождение, графики работы, адреса электронной почты, сведения о личном составе педагогических (научно-педагогических) работников, их фамилии, имена, отчества, занимаемые должности, уровень образования, квалификация, доступность ученой степени, ученого звания.
Соответствующие обязанности установлены также Федеральным законом от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», согласно которому государственные органы и органы местного самоуправления органы обязаны обеспечивать доступ к информации о своей деятельности, в том числе к информации о руководителях государственного органа, его структурных подразделений, территориальных органов и представительств за рубежом (при наличии), руководителях органа местного самоуправления, его структурных подразделений, руководители подведомственных организаций (фамилии, имена, отчества, должности, рабочие телефоны).
Иная информация может быть предоставлена только с согласия этих лиц.
2. Обработка персональных данных близких родственников работника в объеме, предусмотренном единой формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05 января 2004 г.
N 1 «Об утверждении унифицированных форм первичная учетная документация по учету труда и его оплаты» или в случаях, установленных законодательством Российской Федерации (получение алиментов, получение доступа к государственной тайне, получение социальных льгот).
В иных случаях получение согласия близких родственников работника является обязательным условием на обработку его персональных данных.
3. Обработка специальных категорий персональных данных работника, в том числе информации о состоянии здоровья, связанной с вопросом о способности работника выполнять трудовую функцию, на основании положений п.
2.3 ч.
2 ст. 10 ФЗ «О персональных данных» в рамках трудового законодательства.
4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предотвращения угрозы жизни и здоровью работника, а также в иных случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
.
Передача персональных данных работников в Фонд социального страхования РФ, Пенсионный фонд РФ Работодатель, согласно ст. 22 ТК РФ, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации», Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации».
Основы обязательного социального страхования», Федеральный закон «Об обязательном медицинском страховании в Российской Федерации».
Федерация».
Таким образом, передача персональных данных работников в Фонд социального страхования РФ и Пенсионный фонд РФ осуществляется без их согласия.
Согласие работника или государственного служащего при передаче его персональных данных не требуется.
в случаях, связанных с исполнением им служебных обязанностей, в том числе во время командировки (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25 апреля 1997 г.
N 490, нормативными правовыми актами в области транспортной безопасности).
К исключениям, связанным с отсутствием необходимости получения согласия, относятся случаи передачи работодателем персональных данных работников и государственных служащих налоговым органам, военным комиссариатам, профсоюзным органам, предусмотренные действующим законодательством Российской Федерации.
Так, в соответствии со ст. Искусство.
17, 19 Федерального закона от 12 января 1996 г.
N 10-ФЗ "О профессиональных союзах, их правах и гарантиях деятельности", для осуществления своей уставной деятельности профсоюзы имеют право бесплатно и беспрепятственно получать от работодатели, их объединения (союзы, ассоциации), органы государственной власти и органы местного самоуправления информация по социальным и трудовым вопросам, в том числе контроль за соблюдением работодателями и должностными лицами трудового законодательства, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда , гарантии и компенсации, льготы и льготы, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и вправе требовать устранения выявленных нарушений.
В случае мотивированных обращений прокуроров, правоохранительных органов, органов безопасности, государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных Согласие работника не требуется при получении в пределах установленных полномочий мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работников в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
Мотивированный запрос должен содержать указание на цель запроса, ссылку на правовое основание запроса, в том числе подтверждающее полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
При поступлении запросов от организаций, не имеющих соответствующих полномочий, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы только в тех целях, для которых они были предназначены.
доведено до сведения, а также требовать от этих лиц подтверждения того, что данное правило будет (было) соблюдено.
Необходимо отметить, что передача персональных данных сотрудников кредитным организациям открытие и обслуживание платежных карт для расчета заработной платы осуществляется без его согласия в следующих случаях:
- договор на выпуск банковской карты заключен непосредственно с работником и текст которого содержит положения, предусматривающие передачу работодателем персональных данных работника;
- работодатель имеет доверенность на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующее обслуживание;
- соответствующая форма и система оплаты труда предусмотрены в коллективном договоре (ст. 41 ТК РФ).
При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч.
3 ст. 6 ФЗ «О персональных данных», в том числе получение согласия работников на передачу их персональных данных.
Распространенные ошибки
Кажется, все достаточно просто и понятно, но в чем же кроется ошибка? На прошедшей недавно Международной конференции «Защита персональных данных» Михаил Емельянников в своем выступлении привел следующие данные материалов проверки:Наличие в согласии работника на обработку персональных данных, предоставленном в письменной форме, сведений об обработке персональных данных в нескольких целях и указании в нем нескольких лиц, осуществляющих обработку персональных данных по поручению оператора.И еще одно четкое указание суда, для понимания ситуации, оттуда же:Согласие на обработку персональных данных заявителя не соответствует требованиям пункта 4 части 4 статьи 9 Закона в части указания одной цели обработки персональных данных.
Согласие включает в себя указание нескольких лиц, осуществляющих обработку персональных данных по поручению оператора, что не соответствует требованиям п.
6 ч.
4 ст. №9 № 152-ФЗ «О персональных данных» в части указания лица (лица), осуществляющего обработку персональных данных по поручению оператора.
Для устранения выявленного нарушения Компании необходимо разработать и использовать типовую форму письменного согласия на обработку персональных данных работников, предусматривающую одну цель обработки в случае передачи персональных данных работников третьим лицам.Именно эти, казалось бы, незначительные ошибки сегодня становятся причиной судебных исков.Вывод суда: .
если цели обработки персональных данных выходят за рамки ТК РФ, на каждый случай передачи персональных данных работников третьим лицам необходимо получить отдельное письменное согласие сотрудника.
Постановление Девятого арбитражного апелляционного суда от 16 августа 2016 года № 09АП-30182/2016-АК по делу № А40-17595/16
Кроме того, остается неясным само определение персональных данных.
В этом вопросе опять же накапливается судебная практика.
Обычно любая организация имеет как минимум стандартный набор плюс/минус данных от различных АСУ (систем контроля и управления доступом), а именно:
- Полное имя;
- год, месяц, число и место рождения;
- адрес;
- семейное, социальное, имущественное положение;
- образование, профессия, должность, доход;
- биометрические персональные данные.
- сведения о смерти гражданина (постановление Приволжского автономного окружного суда от 25 сентября 2014 года по делу № А49-2005/2014);
- номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33-9241/2015);
- фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).
Так, Европейский суд в своем решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес пользователя Интернета может считаться персональными данными.
.
Однако Закон требует от нас обеспечить безопасность персональных данных как в традиционном документообороте, так и при автоматизированной обработке данных.
Как соблюсти требования законодательства?
В законе указано, что персональные данные относятся к конфиденциальной информации (ст. 7 Закона № 152-ФЗ).Операторы и иные лица, имеющие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта.
Оператор обязан обеспечить безопасность персональных данных.
Меры зависят от способа обработки данных – с помощью средств автоматизации или вручную.
Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п.
13-15 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г.
№ 687).
Одной из таких мер является определение во внутренних документах компании перечня лиц, осуществляющих обработку персональных данных или имеющих к ним доступ.
Также необходимо отдельно хранить носители персональных данных, обрабатываемые для разных целей.
При автоматизированной обработке персональных данных применяются Требования к защите персональных данных при их обработке в информационных системах, утвержденные.
Постановление Правительства Российской Федерации от 1 ноября 2012 г.
№ 1119 и Приказ ФСТ России от 18 февраля 2013 г.
№ 21. Для удовлетворения данных требований необходимо провести ряд организационных и технических мероприятий.
вне.
Возможно, потребуется привлечение специалистов компаний-интеграторов.
Благодаря автоматизированной обработке вы также можете обратиться к нам и избавить себя хотя бы от части головной боли по вопросу соблюдения требований и сократить свои расходы.
Мы предлагаем как минимум два решения, позволяющих приблизиться к образу «идеального оператора», отвечающего за кадровый учет:
Тэги: #информационная безопасность #Карьера в ИТ-отрасли #ИТ-законодательство #Управление персоналом #персональные данные #ФЗ-152 #ФЗ-152 #исключения #нарушения #кадровый учет
-
Гиппарх
19 Oct, 24 -
Умная «Квартира»
19 Oct, 24 -
Как Получить Любой Символ В Gnome
19 Oct, 24
