Ответственность за разглашение персональных данных сотрудников

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за разглашение персональных данных сотрудников». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

  • Уголовная — в зависимости от тяжести нарушения суд может назначить разные наказания: от крупных штрафов до лишения свободы, причем, чтобы ответить по статье, достаточно рассказать чужую личную информацию всего одному человеку.
  • Административная — суд предпишет заплатить штраф или ограничится предупреждением.
  • Гражданско-правовая — необходимо будет возместить материальный или моральный ущерб
  • Дисциплинарная — предполагает замечание или выговор, иногда дело может дойти до увольнения.

Ответственность за нарушение закона о персональных данных

Нарушение

Что грозит

Норма закона

Сотрудник придал огласке личную информацию другого сотрудника, которые он выяснил в ходе работы.

Менеджер банка, проверяя платежеспособность заявителя на кредит, позвонил к нему на работу. Руководитель не должен давать информацию о размере зарплаты подчиненного без его письменного согласия и официального письма из банка.

Увольнение

Статья 81, пункт 6, подпункт «в» Трудового кодекса

Работник допустил какие-либо другие нарушения при работе с личной информацией.

Рекрутер передала резюме неподошедшего соискателя коллеге из другой компании. У нее было согласие человека на обработку его личных сведений, но не на передачу кому-то еще. Поэтому рекрутеру сделали выговор.

Замечание или выговор

Статья 90 и статья 192 ТК РФ

Если вы работодатель, и ваш подчиненный нарушил правила конфиденциальности, учитывайте, что и вы должны играть значительную роль в недопущении подобных ситуаций. В частности, важно:

  • защитить личные сведения сотрудников и клиентов от стороннего доступа (в том числе внутри организации);
  • прописать в трудовом договоре ответственность сотрудника за нарушение принципов конфиденциальности;
  • донести до всех сотрудников правила и принципы работы с ПД, которые установлены законом и применяются в организации.

Всё равно остались вопросы? Или хочется больше разборов реальных ситуаций из практики? Делимся практическим опытом и даем новейшую информацию в авторском курсе о персональных данных. Вам не придется самостоятельно изучать законы и разбирать нагромождения юридических формулировок. Мы уже сделали это за вас и упаковали в простые и понятные принципы.

Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

Звонки поступают со следующих номеров телефонов: …

Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

Как работодателю не налететь на штраф из-за защиты персональных данных

г. Екатеринбург, пер. Отдельный, 5

остановка транспорта Гагарина

Трамвай: А, 8, 13, 15, 23

Автобус: 61, 25, 18, 14, 15

Троллейбус: 20, 6, 7, 19

Маршрутное такси: 70, 77, 04, 67

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Знакомить с ЛНА об информации с ограниченным доступом нужно работников, которые поименованы в нем как имеющие доступ к такой информации. Для этого достаточно подписи таких работников в ведомости ознакомления с ЛНА или в специальном журнале при приеме сотрудника на работу или при вступлении в силу новой редакции ЛНА, содержащего условия об информации ограниченного доступа.

Такой доступ имеют многие:

  • главный бухгалтер — для начисления зарплаты, удержания НДФЛ;
  • менеджер по работе с клиентами — доступ к информации о клиентах компании;
  • начальник отдела кадров — при оформлении человека на работу;
  • руководитель компании — при ознакомлении с личными делами работающих, с резюме и т. д.

Можно назначить одного или нескольких сотрудников в качестве ответственных за неразглашение персональных данных и организацию их обработки. Число таких сотрудников на уровне закона не оговорено. Но в их обязанности входит:

  • контроль за соблюдением оператором и его работниками Федерального закона от 27.07.2006 № 152-ФЗ и других подзаконных актов;
  • доведение до сведения работающих положения законодательства и локальных актов о персональных данных;
  • организация приема и обработки обращений и запросов субъектов персональных данных.

Право ответственных лиц получать конфиденциальные данные граждан необходимо оформить документально.

Приказом по предприятию ответственного сотрудника обязывают, например, обеспечивать сохранность информации на бумажных и электронных носителях, а также об осуществлении работниками их трудовых прав. Образец приказа о неразглашении персональных данных можно скачать в конце статьи.

Всем работающим на предприятии необходимо внимательно подходить к сохранности и обработке используемых ими сведений о коллегах. Важно, чтобы сотрудник знал, что ему предоставляется доступ к особо охраняемым данным, и принял на себя обязательство соблюдать требования по обращению с ними, в том числе о неразглашении персональной информации.

Согласно ст. 90 ТК РФ, нарушение норм, регулирующих обработку и защиту персональных данных работника, влечет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.

Для работника существует опасность увольнения на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за такие нарушения, как разглашение коммерческой тайны, которая стала известна работнику при выполнении им трудовой функции, или разглашение конфиденциальной информации другого сотрудника.

Однако чтобы уволить по этой статье, работодателю придется доказать, что работник разгласил секретные данные (сообщил, переслал, передал, опубликовал и т. д.) либо допустил разглашение охраняемой им информации таким образом, что она стала известна третьим лицам. А также, что разглашенная информация является охраняемой в соответствии с законодательством РФ.

В КоАП введена отдельная статья о неразглашении персональных данных третьим лицам (13.14 КоАП РФ). Она предполагает наказание в виде штрафа для физических лиц — от 500 до 1000 рублей, а для должностных лиц — в размере от 4000 до 5000 рублей.

Проверяет, насколько эффективно организация и ее должностные лица «скрывают» личную информацию от посторонних, Роскомнадзор. Порядок осуществления плановых и внезапных ревизий прописаны в Постановлении Правительства от 13.02.2019 № 146. Объявление о грядущей проверке (копию приказа о назначении проверки) организации должны прислать минимум за 24 часа, если визит незапланированный, и за 3 дня, если проверка включена в план.

При проверках контролеры обращают внимание на наличие документации и ее корректность, выполнение требований в реальной жизни. Так, организации должны учитывать, что запрещено:

  • разглашать сведения о премии и заработной плате работников;
  • передавать личную информацию любым партнерам;
  • терять сведения или оставлять их без присмотра;
  • отказываться выдавать справки, связанные с трудовой деятельностью сотрудников.

Статья 3 Закона №152-ФЗ говорит, что персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это следующая информация о лице:

  • Ф. И. О.;
  • пол;
  • дата рождения;
  • место рождения;
  • фотография или видеозапись, которая позволяет установить личность;
  • адрес;
  • семейное положение, информация о детях и родственниках;
  • образование, квалификация, сведения о повышении квалификации;
  • профессия;
  • факты биографии и трудовой деятельности;
  • доходы,сведения о зарплате;
  • деловые и иные личные качества.

Приведенный перечень сведений является открытым, его дополняют необходимыми пунктами. Персональные данные нужны работодателю для оформления и поддержания трудовых отношений (см. ст. 85 ТК РФ). Информация о работнике содержится в таких документах:

  • анкета, автобиография заполненная при приеме на работу;
  • трудовой договор;
  • документ, удостоверяющий личность (паспорт, заграничный паспорт, военный билет, временное удостоверение личности);
  • личная карточка № Т-2;
  • трудовая книжка и сведения о трудовой деятельности (СТД-Р, СТД-ПФР, СЗВ-ТД);
  • свидетельства о браке, о рождении детей;
  • СНИЛС;
  • военный билет;
  • документ об образовании;
  • ИНН;
  • водительское удостоверение;
  • медицинская книжка (если требуется);
  • справка о доходах с прошлого места работы.

Важно! Персональные данные работника — конфиденциальная информация. Это значит, что их нельзя разглашать ее без письменного согласия сотрудника (ст. 3 Закона №152-ФЗ).

Ответственность работодателя за разглашение персональных данных

Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т. д. Во время обработки соблюдайте требования ст. 5 Закона о персональных данных:

  • у обработки должны быть конкретные и законные цель и основание;
  • нельзя объединять базы данных, которые содержат персональные данные, обрабатываемые в несовместимых целях;
  • обрабатывать можно только те данные, которые соответствуют цели обработки;
  • форма хранения персональных данных должна позволять определять субъекта этих данных, а хранить их можно только в течение необходимого срока, после чего следует обезличить или уничтожить;
  • запрещена передача личных сведений работника третьим лицам без его письменного согласия;
  • персональные сведения передает сам гражданин.

Работодатель должен действовать в целях соблюдения законов и других нормативных актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения безопасности, контроля работы, сохранности имущества компании. Работодатель имеет право получать персональные данные только у работника, если же их можно получать от третьих лиц, необходимо уведомить работника и получить его письменное согласие.

Работодатель обязан обеспечить защиту персональных данных, поэтому в локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

С 1 сентября 2021 года появились требования к согласию на обработку персональных данных, разрешенных для распространения. Оно должно содержать следующую информацию (Приказ Роскомнадзора от 24.02.2021 № 18):

  • Ф.И.О. субъекта;
  • контактная информация;
  • сведения об операторе (организации, физлице, ИП);
  • сведения об информационных ресурсах оператора, на которых будут раскрыты персональные данные субъекта;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дано согласие;
  • категории и перечень персональных данных, на обработку которых субъект устанавливает условия и запреты;
  • условия передачи полученных персональных данных;
  • срок действия согласия на обработку.

Это согласие нужно именно работодателю, так как в случае спора он обязан доказать, что имел согласие на обработку. Например, оно точно потребуется при получении данных работника у третьей стороны, при передаче его персональных данных третьим лицам для предупреждения угрозы жизни и здоровью и пр., для обработки специальных категорий данных.

По Методическим рекомендациям Роскомнадзора все категории персональных данных делятся на три:

Персональные данные — любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. Это Ф.И.О., дата рождения, адрес, номер телефона, семейное положение, прежнее место работы и т.д.

Специальная категория — раса и нация, политические взгляды, религия, состояние здоровья, интимная жизнь.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность.

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

Работодателя могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Так, за обработку персональных данных без письменного согласия работника или с нарушением требований к нему будет наложен штраф:

Категория Первое нарушение Повторное нарушение
Гражданин 6 000 — 10 000 рублей 10 000 — 20 000 рублей
Должностное лицо 20 000 — 40 000 рублей 40 000 — 100 000 рублей
ИП 100 000 — 300 000 рублей
Юридическое лицо 30 000 — 150 000 рублей 300 000 — 500 000 рублей

Для работников, имеющих доступ к персональным данным, предусмотрены различные виды ответственности за их разглашение:

  • К дисциплинарной ответственности относятся замечание, выговор, увольнение.
  • К административной ответственности относится штраф: для граждан — 500-1000 рублей, для должностных лиц — 4000-5000 рублей,
  • К материальной ответственности привлекаются работники, которые непосредственно обрабатывают персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя.
  • Гражданско-правовая ответственность также накладывается за причинение морального вреда гражданину, чьи права были нарушены. На нарушителя может быть наложена обязанность компенсации вреда по ст. 151, 152 ГК РФ.
  • Уголовная ответственность по ст. 137 УК РФ за незаконное собирание и распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей или в размере зарплаты за период до 18 месяцев, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до года, либо принудительные работы на срок до двух лет, либо арест до 4 месяцев или лишение свободы на срок до двух лет.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Автор статьи: Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

ПРИМЕР

Менеджер по маркетингу Поляков И.Н. отправил отчет о проведенных маркетинговых мероприятиях за октябрь 2017 года с личного электронного адреса на электронный адрес менеджера по рекламе фирмы-контрагента. В отчете в том числе содержались сведения, относящиеся к коммерческой тайне работодателя, – о наиболее выигрышном варианте упаковки продукции по результатам маркетинговых исследований.

Маркетинговые планы часто относятся к коммерческой тайне, тем более если организация преуспевает. Если работник раскрывает такие планы конкурентам, он, несомненно, наносит организации ущерб.

Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (в ред. от 12.03.2014, далее – Закон о коммерческой тайне) разъясняет, что разглашение информации, составляющей коммерческую тайну, – это действие или бездействие, в результате которых информация в любой возможной форме (устной, письменной, иной, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору (п. 9 ст. 3).

Ответственность за разглашение персональных данных в 2021 году

Тот факт, что работник действительно виновен в разглашении охраняемой законом тайны, нужно зафиксировать в решении специальной комиссии, которая проводит внутреннее (служебное) расследование (проверку).

Комиссию желательно образовать не позднее следующего дня после выявления факта разглашения. В состав комиссии, как правило, входят компетентные и не заинтересованные в исходе разбирательства работники (не менее трех), которые имеют допуск к разглашенным сведениям.

В приказе о создании комиссии указываются Ф.И.О. и должности работников, входящих в ее состав, цель, дата создания комиссии и срок ее действия (в некоторых случаях он может быть не ограничен), а также полномочия комиссии (Пример 2).

С приказом необходимо ознакомить под роспись всех включенных в нее работников. Работника, в отношении которого ведется расследование, ознакомлять с приказом необязательно, поскольку подобного требования законодательство не содержит.

Процедура принятия решения о привлечении либо непривлечении работника к ответственности и наложении на него того или иного взыскания законодательством не предусмотрена. Руководитель рассматривает результаты работы комиссии, знакомится с представленными документами. Он может пригласить работника, который обвиняется в правонарушении, а также иных работников для беседы. Руководитель принимает решение о наложении взыскания на работника исходя из собственного субъективного восприятия доказанности виновности/невиновности работника, степени его вины, личности работника.

ТК РФ лишь ограничивает срок принятия такого решения. Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. Дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка (часть четвертая ст. 193 ТК РФ).

НАКАЗЫВАТЬ НЕ ОБЯЗАТЕЛЬНО!

Необходимо отметить, что работодатель имеет право привлечь работника к дисциплинарной ответственности, но не обязан этого делать.

В результате служебного расследования должностные лица устанавливают не только факт совершения правонарушения в виде разглашения коммерческой тайны, но и выясняют обстоятельства и причины такого поведения работника в силу части пятой ст. 192 ТК РФ. Ведь в случае судебного разбирательства работодателю необходимо будет представить доказательства, свидетельствующие не только о том, что работник совершил дисциплинарный проступок, но и о том, что при наложении взыскания учитывались тяжесть этого проступка и обстоятельства, при которых он был совершен, а также предшествующее поведение работника, его отношение к труду (п. 53 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2, далее – Постановление Верховного суда РФ № 2).

Такое требование предъявляется к работодателю, так как согласно Конституции РФ принципами юридической ответственности в том числе являются вина, соразмерность и гуманизм. Если работник считает, что не совершал правонарушения или совершил его не по своей воле (то есть отсутствует вина работника), либо считает, что имеются смягчающие его вину обстоятельства, он вправе сообщить их в объяснительной записке.

За совершение дисциплинарного проступка работодатель может применить следующие виды дисциплинарных взысканий: замечание, выговор, увольнение (ст. 192 ТК РФ).

С работником, которые разгласил сведения, составляющие коммерческую тайну, работодатель вправе расторгнуть трудовой договор (подп. «в» п. 6 части первой ст. 81 ТК РФ). Увольнение в этом случае будет законным, если работодатель придерживался процедуры наложения на работника дисциплинарного взыскания, изложенной в ст. 193 ТК РФ.

Далее рассмотрим, как правильно оформить выговор или увольнение работника, допустившего разглашение коммерческой тайны, чтобы избежать восстановления работника на работе.

Выговор. Если работодатель все же надеется на дальнейшее сотрудничество с работником, совершившим проступок, он может его не увольнять, а объявить выговор.

Для этого необходимо составить приказ и под роспись ознакомить с ним работника (Пример 9). В случае его отказа или уклонения от ознакомления – оформить соответствующий акт (Пример 10).

ПРИМЕР

Бухгалтер Алексеева С.В. долго спорила с начальником отдела кадров Рылеевой О.В. о способе расчета дней для компенсации работнику отпуска при увольнении на повышенных тонах, нервничая и размахивая руками. Секретарю Колесниковой А.Н. спор показался забавным, и она сняла разговор на камеру телефона. При этом на видео был виден бейдж Алексеевой С.В. с ее именем и фамилией. В этот же день видеоролик появился в общем доступе одной из социальных сетей.

Согласно ст. 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Персональные данные являются конфиденциальной информацией, которая защищается законодательством РФ, например ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 29.07.2017, далее – Закон о персональных данных).

Статья 3 Закона о персональных данных определяет, что персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Это определение не содержит конкретного перечня информации, поскольку достаточно, чтобы такая информация позволяла определить, к какому лицу она относится.

В статье 1 Закона о персональных данных указано, что принимать меры по защите персональных данных обязаны в том числе юридические лица и физические лица, которые обрабатывают персональные данные с использованием средств автоматизации и без использования таких средств.

Если в период действия трудового договора работник нарушил указанные выше положения законодательства, его можно привлечь к дисциплинарной и материальной ответственности (ст. 90 ТК РФ).

Рассмотрим подробнее те действия, которые следует предпринять для привлечения работника к ответственности, и как правильно оформить документы, чтобы избежать рисков.

Работники, даже если они «нечисты на руку», надежно защищены Трудовым кодексом. Размещение в Cети информации о бывшем работнике будет считаться разглашением персональных данных.

В соответствии со статьей 88 Трудового кодекса работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия сотрудника, за некоторыми исключениями. Примерами таких исключений являются информирование государственных органов о несчастном случае на производстве, передача персональных данных в ПФР, ФНС и ФСС. Вообще закон разрешает передавать персональные данные, если есть угроза жизни и здоровью работника.

Во всех других случаях компания имеет право передавать куда-либо персональные данные специалиста только с письменного согласия самого работника.

Если опубликовать на сайте компании или на другом ресурсе (официально от имени компании) информацию о причинах увольнения работника, о совершенных им хищениях, об утрате доверия, о неоднократном неисполнении трудовых обязанностей – все это будет считаться нарушением норм трудового законодательства. Такой вывод содержится в письме Минтруда России от 8 октября 2018 года № 14-2/В-803.

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ. Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

  • К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.
  • Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.
  • Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2019 г.).
  • Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).

Разглашение персональных данных

  • Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с требованиями ч. 4 ст. 9 Закона о персональных данных.
  • Подпишите с лицом, которому передаются ПД работника, соглашение о конфиденциальности или попросите его предоставить гарантийное письмо, в котором лицо должно гарантировать соблюдение конфиденциальности. Документ также должен содержать цели обработки ПД.
  • Возьмите письменное согласие работника на передачу его ПД третьему лицу в строгом соответствии с ч. 4 ст. 9 Закона о персональных данных.
  • В заключенном с третьим лицом договоре необходимо указать следующие условия:
    • работодатель поручает исполнителю обработку ПД в соответствии с ч. 3 ст. 6 Закона о персональных данных;
    • исполнитель обязуется соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных;
    • перечень действий (операций) с ПД, которые будут совершаться исполнителем при обработке ПД работника;
    • цели обработки ПД;
    • исполнитель обязуется соблюдать конфиденциальность ПД и обеспечивать безопасность при их обработке;
    • требования к защите обрабатываемых ПД согласно ст. 19 Закона о персональных данных.

1 Абзац 4 п. 4 Разъяснений Роскомнадзора от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

2 Абзац 9 п. 4 тех же разъяснений Роскомнадзора.

3 Абзац 2 п. 5 тех же разъяснений Роскомнадзора.

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

Персональные данные работников: как работодателю не нарушить закон

Сведения, носящие личный характер, определены в ст. 3 ФЗ «О персональных данных». Под ними подразумевается информация, которая относится к определенному гражданину. Более подробно о том, что относится к персональным данным, читайте здесь. В рамках трудовых отношений речь идет о следующих данных:

  • о полном имени сотрудника (ФИО);
  • о реквизитах документов гражданина (ИНН, страховых свидетельств, паспортов и других);
  • о наличии определенного образования;
  • о размере получаемых доходов;
  • о месте, в котором проживает работник;
  • о членах семьи сотрудника;
  • о дате и населенном пункте, в котором он родился.

Вся перечисленная информация не должна передаваться другим лицам без согласия работника на обработку его персональных данных.

Правовые основы применения различных взысканий за несанкционированную передачу личной информации заложены в ст. 23 и 24 Конституции РФ. Она предусматривает право граждан на неприкосновенность частной жизни и запрет на работу с персональными данными без их согласия. Именно по этой причине его следует получать у соискателей работы и у действующих сотрудников. Понятие частной жизни детализировано в определении Конституционного суда РФ N 12-53-О от 28 июня 2012 года. Речь идет о сведениях, относящихся к отдельному гражданину, которые касаются исключительно его и не подлежат общественному или государственному контролю.

Другой базовой нормой, устанавливающей ответственность за разглашение персональных данных гражданина, является ст. 24 закона N ФЗ-152. На основании указанных правил нарушители подвергаются административным, дисциплинарным и уголовным наказаниям.

ДополнительноОсновным контролирующим ведомством по вопросам защиты персональных данных является Роскомнадзор РФ. Эта служба отвечает за организацию надзора за обработкой и защиту персональных данных граждан. С 1 июля 2017 года право возбуждать дела по админ нарушениям возлагается на должностных лиц Роскомнадзора (до этого времени таким правом обладал только прокурор).

Для ряда нарушителей предусматривается административная ответственность. Распространение персональных данных без согласия работника влечет наказание по 13.14 КоАП РФ. Эти правила применяются по остаточному принципу: речь идет только о случаях, не являющихся преступлениями. Если разглашение не носит публичный характер (связано с передачей сведений ограниченному числу получателей информации), то допустившее его лицо будет обязано уплатить штраф. Размер взыскания отличается в зависимости от статуса нарушителя:

  • для граждан он находится в пределах 500 – 1000 рублей;
  • должностным лицам, к которым приравниваются адвокаты, придется оплатить от 4 до 5 тыс. рублей.

Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.

Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.

Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.

Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.

Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор. Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом. Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.

Специфическими персональными сведениями являются тайны. Сюда относится, например, тайна усыновления. Такие личные данные гражданина распространению не подлежат.

В том случае, если такая информация кому-либо стала известна без согласия усыновителя, правонарушители могут быть привлечены к ответственности по уголовной статье.

Защищаем секреты фирмы от разглашения работниками

Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.

Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.

Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

  • административная;
  • уголовная.

Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.

Это правонарушение влечет за собой административную ответственность. Это статья 13.11 КОАП РФ. В зависимости от того, кто именно является нарушителем, предусмотрен и различный размер штрафных санкций.

Если закон нарушил гражданин, то он обязан уплатить штраф в казну государства в размере до трех тысяч рублей.
Если это юридические лица – до пятидесяти тысяч рублей.
В случае, если нарушение закона исходило от должностного лица, то возникает обязательство уплаты штрафа в размере до десяти тысяч рублей.
Юридическим же лицам за нарушение закона о неразглашении придется уплатить до семидесяти пяти тысяч рублей.

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

Так, нельзя передавать данные о работнике, если:

— с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

— нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

— сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

— они стали известны работнику в связи с исполнением им трудовых обязанностей;

— уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *