Какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными

by Elena Sushonkova
Какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрены разные виды ответственности (ст. 90 ТК РФч. 1 ст. 24 Закона от 27 июля 2006 г. № 152-ФЗ).

К административной ответственности организацию и ее должностных лиц привлекут за нарушение сбора, хранения, использования или распространения персональных данных. Размеры штрафов зависят от вида правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организацию – на сумму от 15 000 до 75 000 руб. Подробнее о том, какие штрафы за нарушения в работе с персональными данными, см. в таблице.

Такие меры ответственности предусмотрены статьями 13.11 и 13.14Кодекса РФ об административных правонарушениях.

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).

Уголовная ответственность для руководителя организации или иного лица, ответственного за работу с персональными данными, может наступить за незаконное:

  • собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

  • штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Об этом говорится в статье 137 Уголовного кодекса РФ.

Если в результате нарушений, допущенных работодателем при работе с персональными данными, ущемляются права сотрудника, то он вправе также потребовать с организации компенсацию морального вреда. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и иных понесенных сотрудником убытков. Об этом говорится в части 2 статьи 24 Закона от 27 июля 2006 г. № 152-ФЗ. Порядок возмещения морального вреда регулируется гражданским законодательством (ст. 1099 ГК РФ).

Ситуация: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации

Да, можно.

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными

Ситуация: вправе ли работодатель читать переписку своих сотрудников

Да, вправе, если речь идет о переписке с рабочей электронной почты или других средств связи.

Работодатель может проверять, какую именно информацию сотрудник отправляет с электронной рабочей почты и связана ли такая корреспонденция с работой (ст. 5791 ТК РФ). В том числе работодатель вправе применять при необходимости средства, не противоречащие российскому законодательству, и методы технической защиты конфиденциальности информации, которая относится к коммерческой тайне (ст. 10 Закона от 29 июля 2004 г. № 98-ФЗ). Следует учесть, что вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих организации, и по оплаченным ею каналам связи или передачи данных, является служебной. Поскольку тайна переписки распространяется на лиц, участвующих в ее процессе только в том случае, если она ведется в свободное от работы время, на личном оборудовании при оплате этих средств и услуг оператора связи самостоятельно (ст. 22 Конституции РФ).

Так, например, за чтение личной электронной почты работников или сообщений ICQ (при условии, что такой вид связи не является общекорпоративным средством и для этого не формируются отдельные аккаунты) должностных лиц организации могут привлечь к уголовной ответственности вплоть до лишения свободы на срок до четырех лет, поскольку характер такой переписки личный (ст. 138 УК РФ).

Следует учесть, что доказательства, которые были получены при прочтении электронной переписки сотрудников с рабочей почты, будут иметь юридическую силу в суде только в том случае, если они были получены законным путем (ч. 2 ст. 55 ГПК РФ). Поэтому важно учитывать нормы закона при получении подобных доказательств. В частности, незаконным может быть признан мониторинг использования работником рабочей электронной почты, если работодателем прямо не был введен запрет на ее использование в личных целях, и работники заранее письменно не были предупреждены о контроле со стороны работодателя за соблюдением порядка использования почты. Правомерность такой позиции подтверждает и судебная практика, например, постановление Европейского суда по правам человека от 3 апреля 2007 г. по делу «Копланд (Copland) против Соединенного Королевства», жалоба № 62617/00.

Таким образом, если работодатель планирует контролировать работников через почту и другие виды корпоративной связи, необходимо прописать данное условие в локальном акте и знакомить с ним сотрудников при приеме на работу.

Ситуация: может ли организация передать персональные данные бывшего сотрудника его новому работодателю

Организация вправе предоставить персональные данные бывшего сотрудника по запросу нового работодателя только при наличии письменного согласия сотрудника.

При этом новый работодатель может запрашивать такую информацию только в том случае, если ее невозможно получить у самого сотрудника.

Такой вывод следует из положений пункта 3 статьи 86 Трудового кодекса РФ. Аналогичную позицию занимает Роскомнадзор в разъяснениях от 14 декабря 2012 г.

Ситуация: можно ли сообщать сведения о работе сотрудника в организации по телефону представителям других компаний, например банков

Да, можно, но только с письменного согласия самого сотрудника.

Под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). При этом перечень персональных данных не является исчерпывающим, то есть любая информация, относящаяся к определенному лицу, является его персональными данными. Таким образом, место работы и сам факт работы, запрашиваемые у организации, например, кредитной организацией для подтверждения факта работы или потенциальным работодателем о бывшем сотруднике, являются персональными данными. Поэтому передавать данные о сотруднике другим организациям можно только с соблюдением общих требований об обработке персональных данных, то есть только с согласия самого сотрудника (п. 3 ч. 1 ст. 86 ТК РФст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Таким образом, предоставлять сведения о факте работы сотрудников по телефону неустановленным лицам, в том числе представляющимися специалистами банка, можно, но только с письменного согласия самого сотрудника, независимо от того, продолжает он работать в организации или уже уволился.

Ситуация: обязан ли работодатель по запросу службы судебных приставов сообщать о факте работы в организации сотрудника-должника

Да, обязан.

Факт работы в организации относится к персональным даннымсотрудника. Судебный пристав-исполнитель, ведущий исполнительное производство, вправе запрашивать у организации сведения о сотрудниках, в отношении которых состоялись судебные решения об уплате алиментов или иных видов присужденных платежей, в том числе и сведения, относящиеся к персональным данным. Данный запрос работодатель игнорировать не вправе. Такие правила установлены статьей 64 Закона от 2 октября 2007 г. № 229-ФЗ.

При этом работодатель вправе сообщать о факте работы в организации сотрудника-должника без его согласия о передаче персональных данных третьим лицам, так как в данном случае обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, подлежащего исполнению в соответствии с законодательством России об исполнительном производстве (п. 3 ч. 1 ст. 6п. 6. ч. 2 ст. 10ч. 2 ст. 11Закона от 27 июля 2006 г. № 152-ФЗ).

Таким образом, работодатель обязан отреагировать на запрос службы судебных приставов о факте работы сотрудника-должника. Получать согласие сотрудника на передачу таких данных не нужно.

Задать вопрос можно тут

Написать или позвонить можно WhatsApp +79287768843

С уважением к вашему бизнесу,

Сушонкова Елена

Подписывайтесь на нас:

ВК Facebook Дзен Одноклассники Teletype Телеграмм

Список всех публикаций блога вы найдёте на главной странице канала

Материал подготовлен с использованием системы Жизненные ситуации - готовое решение для предпринимателей

ДРУГИЕ МАТЕРИАЛЫ ПО ТЕМЕ

Изменяется ли трудовая функция при уменьшении обязанностей: новая позиция Мосгорсуда

Можно ли внести изменения в приказ об увольнении, а именно основание и перенос даты увольнения?

Как проводятся проверки соблюдения требований к обработке персональных данных

April 26, 2019
by Elena Sushonkova
Кадры и зарплата