Все организации собирают, хранят и используют сведения о своих сотрудниках. Оформление трудовых отношений между работодателем и работником неразрывно связаны с необходимостью использования персональных данных работника. Данные действия работодателя закон называет «обработкой персональных данных». А организации, занимающиеся обработкой персональные данных, называются операторами по обработке персональных данных.
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения его личной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).

1.Основные понятия, правовая основа.
2.Организация работы по обработке персональных данных.
3.Обработка персональных данных с использованием средств автоматизации и без использования таких средств.
4.Ответственность организации и должностных лиц за нарушение законодательства о персональных данных.
5.Информационные системы персональных данных и критическая информационная инфраструктура.
1.Основные понятия, правовая основа.

Согласно ст. 3 Федерального закона «О персональных данных»:
персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К персональным данным относятся имя и фамилия, номера мобильных телефонов, паспортные данные, адрес электронной почты, а также множество другой информации, без которой невозможно вести трудовые отношения с человеком.
обработка персональных данных — это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Необходимо отметить, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения, до уничтожения без каких-либо изъятий и исключений.

Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит Трудового кодекса РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных») и других, определяющих случаи и особенности обработки персональных данных, федеральных законов, подзаконных актов и локальных нормативных актов, издаваемых самой организацией.

Персональные данные работников являются конфиденциальной информацией. На практике это означает, что доступ к ним должен быть строго ограничен, а те люди, которые все же имеют право работать с персональной информацией, должны выполнять все действия с ней только с согласия самого объекта персональных данных.

2.Организация работы по обработке персональных данных.

Организация работы в данном направлении предполагает несколько обязательных этапов:
1. Разработка и издание локальных нормативных актов организации, определяющих круг лиц ответственных за обработку персональных данных и проведение мероприятий по обеспечению их готовности к исполнению данных должностных обязанностей.
2. Разработка и утверждение локального нормативного акта, регламентирующего порядок получения и обработки персональных данных, с соблюдением всех предусмотренных законодательством условий.
3. Проведение предварительных действий, перед началом обработки персональных данных, по исключению незаконного сбора и обработки этих данных.
4. Получение от лица(лиц), ответственного за обработку персональных данных соглашения (обязательства) о неразглашении, что является единственным документом, подтверждающим исполнение организацией требования п.8 ч.1 ст.86 ТК РФ. В случае отсутствия данного соглашения, вся ответственность ложится на предприятие и лично на его руководителя.
5. Разработка и утверждение политики в отношении обработки персональных данных. Каждый человек, чьи данные использует компания, должен иметь возможность ознакомиться с Политикой. Для этого её размещают в общедоступном месте.
6. Организация технического обеспечения защиты персональных данных сотрудников:
• Криптография и шифрование данных.
• Создание отдельных серверов и каналов связи.
• Уничтожение неактуальных материалов.
• Экранировка помещений и устройств, для защиты от взлома.

7. Публикация политики в отношении обработки персональных данных на своем сайте для государственных и муниципальных органов, а также компаний, которые собирают персональные данные через интернет (интернет-магазины, агентства недвижимости, турфирмы и т. д.).

Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории этих данных были:
• определены и организованы места их хранения;
• установлен перечень лиц, осуществляющих обработку данных, либо имеющих к ним доступ;
• обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

3.Обработка персональных данных с использованием средств автоматизации и без использования таких средств.

Согласно ст. 1 Федерального закона «О персональных данных» настоящим законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой как с использованием средств автоматизации, так и без использования таких средств.
При осуществлении работодателем(оператором) обработки персональных данных без использования средств автоматизации, в соответствии с Положением, утвержденным Постановлением Правительства РФ от 15 сентября 2008г. N687, лица, проводящие такую обработку (в том числе сотрудники организации-оператора или лица, работающие по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и локальными актами организации.
При обработке персональных данных в информационных системах, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств в соответствии с Требованиями, утвержденными Постановлением Правительства РФ от 01.11.2012 N 1119, безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. В данном случае требование нормативных актов предусматривает проведение обработки персональных данных под контролем Роскомнадзора.

4.Ответственность организации и должностных лиц за нарушение законодательства о персональных данных.

Учитывая огромный ряд направлений, где в процессе деятельности работодатель может использовать и обрабатывать персональные данные своих работников риск нарушений законодательства очень велик.
За нарушение порядка обращения с персональными данными для должностных лиц и организаций законодательством предусмотрена дисциплинарная, административная, гражданско правовая и уголовная ответственность.
Дисциплинарная ответственность.
Применяется к работнику допустившему разглашение персональных данных другого работника, если они стали известны ему в связи с исполнением трудовых обязанностей, и иные нарушения в области персональных данных при их обработке.
Статья 81 Трудового кодекса предполагает увольнение с работы.
Статьи 90 и 192 ТК — замечание, либо выговор.
Административная ответственность.
В КоАП предусмотрено три статьи данного вида нарушений, а с июля 2017 года ст.13.11 предусматривает вместо одного состава правонарушения — семь.
Чаще всего встречаются нарушения такого рода:
• Проведение обработки персональных данных не совместимой с основными целями их использования.
• Отсутствие согласие субъекта на обработку его данных.
• Отсутствие информирования субъектов о политике сбора и обработки предоставляемой ими информации.
• Отказ в предоставлении субъекту информации об обработке его персональных данных.
• Незаконное получение персональных данных.
• Отказ в блокировке, удалении, уничтожении данных.
• Несоблюдение требований по обезличиванию.

Статьи 5.39; 13.11; 19.7 КоАП РФ, максимальный штраф составляет 75 тыс. руб.
Уголовная ответственность.

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ.
2. Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий.
3. Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан.
4. Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование.
Статьи 137,140,272 Уголовного кодекса подразумевют максимальное наказание штраф до 300 тыс. руб., либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет).
Гражданско правовая ответственность.
1. Причинение лицу убытков в результате нарушения правил обработки его персональных данных. Под убытками при этом понимаются:
• расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
• утрата или повреждение его имущества;
• не полученные доходы, которые лицо получило бы, не будь его право нарушено.
2. Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных. Может наступить по решению суда, если нарушением прав лица на сохранность персональных данных ему причинен материальный или моральный ущерб.

Статья 15, 151 Гражданского кодекса;
Статья 24 закона «О персональных данных».

5. Информационные системы персональных данных и критическая информационная инфраструктура.

Информационные системы персональных данных входят в состав критической информационной инфраструктуры РФ.
С 1 января 2018 года определены понятия и введена ответственность за неправомерное воздействие на критическую информационную инфраструктуру.
Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (вступил в силу с 01.01.2018) вводит уголовную, административную, гражданско-правовую и дисциплинарную ответственность за нарушение законодательства в области безопасности критической информационной инфраструктуры:
1. За неправомерный доступ к охраняемой информации (с причинением вреда инфраструктуре) – штраф от одного до двух миллионов рублей или лишение свободы на срок до шести лет со штрафом от пятисот тысяч до одного миллиона рублей.
2. За нарушение правил эксплуатации технических средств безопасности критической информационной инфраструктуры систем – принудительные работы на срок до пяти лет с лишением права занимать определенные должности на срок до трех лет, либо лишение свободы на срок до шести лет.
3. Если совершение всех правонарушений повлекло тяжелые последствия или «создало угрозу их наступления» – оно наказывается лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности на срок до пяти лет.

Уже сейчас Вы можете оценить ситуацию по работе с персональными данными у Вас в организации, начав с бесплатной проверки нашими специалистами наличия всей необходимой документации.
Учитывая большое количество компаний имеющих потребность в проведении проверки, а так же большую загрузку наших специалистов, предлагаем Вам в кратчайший срок отправить заявку на бесплатную проверку на нашу почту consultant@businesshelp.su.
Рад, если статья помогла вам систематизировать информацию по работе с персональными данными и хоть как то была полезна вам. Если остались вопросы звоните по телефону +7(863)237-43-67.

С уважением,
HR-консультант Шадрин Виталий Борисович




Отзывы наших клиентов


КАДРЫ решают все!!!
Успех компании создается успешной КОМАНДОЙ


  • Проведите БЕСПЛАТНО   АУДИТ КАДРОВОГО УЧЕТА, определитесь с направлением оптимизации работы с кадрами.
  • 3 варианта связаться с нами:

Защитите Ваш бизнес от негативных последствий нарушений трудового законодательства!!!

Контактная информация


Ростов-на-Дону

Ростовская область

(863) 260 - 05 - 77

ПН - ПТ 10.00 - 18.00
ВЫХ - СБ, ВС

Приглашаем на форум

"Обсуждаем вопросы консалтинга и кадрового менеджмента"

Присоединяйтесь...

присоединится