Что грозит бухгалтеру за разглашение персональных данных

Обязательство о неразглашении персональных данных работников

Обязательство о неразглашении персональных данных — один из самых популярных локальных нормативных актов на предприятии в последние годы. Для хранения и обработки таких данных граждан необходимо правильно организовать доступ к ним персонала организации. Статья рассказывает, что включить в обязательство, кто его подписывает, какова роль ответственного за организацию обработки конфиденциальных данных.

Кто имеет доступ к личным данным

Такой доступ имеют многие:

  • главный бухгалтер — для начисления зарплаты, удержания НДФЛ;
  • менеджер по работе с клиентами — доступ к информации о клиентах компании;
  • начальник отдела кадров — при оформлении человека на работу;
  • руководитель компании — при ознакомлении с личными делами работающих, с резюме и т. д.

Можно назначить одного или нескольких сотрудников в качестве ответственных за неразглашение персональных данных и организацию их обработки. Число таких сотрудников на уровне закона не оговорено. Но в их обязанности входит:

  • контроль за соблюдением оператором и его работниками Федерального закона от 27.07.2006 № 152-ФЗ и других подзаконных актов;
  • доведение до сведения работающих положения законодательства и локальных актов о персональных данных;
  • организация приема и обработки обращений и запросов субъектов персональных данных.

Бланк и форма обязательства о неразглашении персональных данных работников

Право ответственных лиц получать конфиденциальные данные граждан необходимо оформить документально.

Приказом по предприятию ответственного сотрудника обязывают, например, обеспечивать сохранность информации на бумажных и электронных носителях, а также об осуществлении работниками их трудовых прав. Образец приказа о неразглашении персональных данных можно скачать в конце статьи.

Данный вопрос может регулироваться трудовыми договорами, приказами, должностными инструкциями и внутренними положениями о порядке работы с такими данными. Работодателю необходимо получить от своих сотрудников, работающих с персональными данными, подтверждение согласия на получение доступа к этим данным, на соблюдение правил их обработки и хранения.

Для этого на предприятии разрабатывается образец обязательства о неразглашении персональных данных работников. Его текст составляют на основании п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687.

Содержание обязательства

В законодательстве отсутствуют единые требования к содержанию обязательства по неразглашению персональной информации сотрудников. Но в отношении ответственных лиц, обрабатывающих личные данные без средств автоматизации, установлены специальные требования. В этом случае они должны быть проинформированы о:

  • факте обработки ими такого типа данных без использования средств автоматизации;
  • категориях данных, подлежащих защите;
  • особенностях и правилах осуществления их обработки, установленных законодательно и локальными правовыми актами организации.

Все эти условия целесообразно включать и в обязательства других работников, которые по роду и характеру деятельности получают доступ к конфиденциальным данным.

Также в обязательстве о неразглашении должен содержаться открытый перечень сведений, к которым сотрудник имеет доступ и которые он не должен разглашать:

  • биографические данные граждан;
  • места их работы и жительства, номера телефонов;
  • адреса электронной почты и т. д.

Далее нужно предусмотреть место для подписи работника, подтверждающей, что он:

  • понимает, что для выполнения должностных обязанностей ему предоставляется доступ к личным данным других работников или иных лиц;
  • ознакомлен с содержанием ст. 90 ТК РФ об ответственности за разглашение данных;
  • знает и применяет в работе локальные документы (инструкции, положения и др.), содержащие требования к хранению и обработке персональных данных (эти локальные документы могут быть разными для различных категорий сотрудников).

Ответственность за разглашение персональных данных

Всем работающим на предприятии необходимо внимательно подходить к сохранности и обработке используемых ими сведений о коллегах. Важно, чтобы сотрудник знал, что ему предоставляется доступ к особо охраняемым данным, и принял на себя обязательство соблюдать требования по обращению с ними, в том числе о неразглашении персональной информации.

Согласно ст. 90 ТК РФ, нарушение норм, регулирующих обработку и защиту персональных данных работника, влечет дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.

Для работника существует опасность увольнения на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за такие нарушения, как разглашение коммерческой тайны, которая стала известна работнику при выполнении им трудовой функции, или разглашение конфиденциальной информации другого сотрудника.

Однако чтобы уволить по этой статье, работодателю придется доказать, что работник разгласил секретные данные (сообщил, переслал, передал, опубликовал и т. д.) либо допустил разглашение охраняемой им информации таким образом, что она стала известна третьим лицам. А также, что разглашенная информация является охраняемой в соответствии с законодательством РФ.

В КоАП введена отдельная статья о неразглашении персональных данных третьим лицам (13.14 КоАП РФ). Она предполагает наказание в виде штрафа для физических лиц — от 500 до 1000 рублей, а для должностных лиц — в размере от 4000 до 5000 рублей.

Проверяет, насколько эффективно организация и ее должностные лица «скрывают» личную информацию от посторонних, Роскомнадзор. Порядок осуществления плановых и внезапных ревизий прописаны в Постановлении Правительства от 13.02.2019 № 146. Объявление о грядущей проверке (копию приказа о назначении проверки) организации должны прислать минимум за 24 часа, если визит незапланированный, и за 3 дня, если проверка включена в план.

При проверках контролеры обращают внимание на наличие документации и ее корректность, выполнение требований в реальной жизни. Так, организации должны учитывать, что запрещено:

Что грозит бухгалтеру за разглашение персональных данных

КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

(в ред. Федерального закона от 07.02.2017 N 13-ФЗ)

(см. текст в предыдущей редакции)

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, –

(в ред. Федерального закона от 11.06.2021 N 206-ФЗ)

(см. текст в предыдущей редакции)

влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от шестидесяти тысяч до ста тысяч рублей.

(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)

(см. текст в предыдущей редакции)

1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, –

влечет наложение административного штрафа на граждан в размере от четырех тысяч до двенадцати тысяч рублей; на должностных лиц – от двадцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от пятидесяти тысяч до ста тысяч рублей; на юридических лиц – от ста тысяч до трехсот тысяч рублей.

(часть 1.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, –

(в ред. Федерального закона от 11.06.2021 N 206-ФЗ)

(см. текст в предыдущей редакции)

влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц – от двадцати тысяч до сорока тысяч рублей; на юридических лиц – от тридцати тысяч до ста пятидесяти тысяч рублей.

(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)

(см. текст в предыдущей редакции)

2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, –

влечет наложение административного штрафа на граждан в размере от десяти тысяч до двадцати тысяч рублей; на должностных лиц – от сорока тысяч до ста тысяч рублей; на индивидуальных предпринимателей – от ста тысяч до трехсот тысяч рублей; на юридических лиц – от трехсот тысяч до пятисот тысяч рублей.

(часть 2.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных –

влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до трех тысяч рублей; на должностных лиц – от шести тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от тридцати тысяч до шестидесяти тысяч рублей.

(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)

(см. текст в предыдущей редакции)

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, –

Читайте также:  Приватизация квартиры для чего она нужна?

влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц – от восьми тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей – от двадцати тысяч до тридцати тысяч рублей; на юридических лиц – от сорока тысяч до восьмидесяти тысяч рублей.

(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)

(см. текст в предыдущей редакции)

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, –

влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц – от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей – от двадцати тысяч до сорока тысяч рублей; на юридических лиц – от пятидесяти тысяч до девяноста тысяч рублей.

(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)

(см. текст в предыдущей редакции)

5.1. Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи, –

влечет наложение административного штрафа на граждан в размере от двадцати тысяч до тридцати тысяч рублей; на должностных лиц – от тридцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от пятидесяти тысяч до ста тысяч рублей; на юридических лиц – от трехсот тысяч до пятисот тысяч рублей.

(часть 5.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния –

влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до четырех тысяч рублей; на должностных лиц – от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей – от двадцати тысяч до сорока тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.

(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)

(см. текст в предыдущей редакции)

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных –

влечет наложение административного штрафа на должностных лиц в размере от шести тысяч до двенадцати тысяч рублей.

(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)

(см. текст в предыдущей редакции)

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, –

влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц – от ста тысяч до двухсот тысяч рублей; на юридических лиц – от одного миллиона до шести миллионов рублей.

(часть 8 введена Федеральным законом от 02.12.2019 N 405-ФЗ)

9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, –

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц – от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц – от шести миллионов до восемнадцати миллионов рублей.

(часть 9 введена Федеральным законом от 02.12.2019 N 405-ФЗ)

Примечание. За административные правонарушения, предусмотренные частями 8 и 9 настоящей статьи, статьями 13.31, 13.35 – 13.37, 13.39, 13.40 и 13.46 настоящего Кодекса, лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.

(примечание введено Федеральным законом от 02.12.2019 N 405-ФЗ; в ред. Федерального закона от 24.02.2021 N 19-ФЗ)

Как работодателю не налететь на штраф из-за защиты персональных данных

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

  • фамилия, имя, отчество;
  • дата рождения;
  • адрес места регистрации/места жительства;
  • сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
  • сведения о трудовом (страховом) стаже;
  • сведения о привлечении работника к материальной ответственности;
  • сведения о состоянии здоровья и результатах медицинского обследования работника;
  • любые иные сведения, позволяющие определить работника.

В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.

Источник получения персональных данных

Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:

  • в Фонд социального страхования РФ, Пенсионный фонд РФ;
  • в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
  • когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  • наличия у работодателя доверенности на представление интересов работника;
  • когда соответствующая форма и система оплаты труда прописана в коллективном договоре
Читайте также:  Какой светит штраф за пересечение двойной сплошной

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета. Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

Пройдите курс повышения квалификации по теме «Управленческий учет с нуля до внедрения». 120 ак.часов, обучение онлайн 1 месяц, официальное удостоверение.

При записи на курс до 6 февраля подарок 12 тысяч рублей — 3 месяца безлимитных консультаций от лучших экспертов «Клерка».

Защита персональных данных: какие сведения не вправе разглашать бухгалтер

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Круг сведений о заработной плате

Понятие «заработная плата» включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

Доступ к персональным данным

Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).

В каких случаях персональные данные можно сообщить третьему лицу

Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).

В каких случаях персональные данные нельзя передать третьему лицу

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

Так, нельзя передавать данные о работнике, если:

– с запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

– нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

Защита персональных данных и ответственность за их разглашение

В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

– сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

– они стали известны работнику в связи с исполнением им трудовых обязанностей;

– уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

Административная ответственность

За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

Как корректно отказать в предоставлении сведений

В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

Запрос в письменной форме

В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.

Письменное согласие работника

В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

Уведомление об отказе

В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.

Чем грозит разглашение информации о работнике

Каждый работодатель сталкивается с получением, обработкой, хранением, использованием и передачей персональных данных сотрудников. В компаниях разрабатываются локальные акты, с которыми обязательно знакомят всех работников под подпись, назначаются ответственные лица. Но что делать, если произошла утечка информации, содержащейся, например, в заявлении сотрудника? В статье рассмотрим порядок действий организации в случае разглашения каких-либо сведений о работнике, которые были адресованы только руководителю или иному уполномоченному лицу, а не всему коллективу. Ответим на вопрос, является ли информация из объяснительной записки сотрудника его персональными данными.

Читайте также:  Вернуть телефон в магазин из-за динамика

П оводом для написания статьи стал вопрос от читателя, написавшего в редакцию.

Написал генеральному директору объяснительную записку. На следующий день все в офисе знали и обсуждали ее подробности. Разве такого рода записки не являются конфиденциальной информацией?

Представим, что сотрудник опоздал на работу. После появления на рабочем месте он написал и передал своему руководителю (генеральному директору) объяснительную записку, в которой изложил причины отсутствия. На следующий день все коллеги были в курсе личных проблем сотрудника. При этом сам работник никого не посвящал в подробности. Стало понятно, что начальник рассказал всему отделу о содержании объяснительной.

Возможны и иные схожие ситуации, например: кадровик ознакомился с трудовой книжкой сотрудника и рассказал по секрету парочке коллег из других подразделений о предыдущих местах работы и причинах увольнения с них.

Давайте разберемся, можно ли привлечь к какой-либо ответственности руководителя / сотрудника отдела кадров за разглашение личной информации работника. Выясним, все ли кадровые документы содержат персональные данные. Проведем анализ: кто и в каком размере может понести наказание за утечку информации о зарплате сотрудников. В статье рассмотрим нестандартные ситуации, возникающие на практике.

Персональные данные или нет?

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • место жительства;
  • изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
  • образование, квалификация, профессиональная подготовка;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);
  • деловые и иные личные качества;
  • медицинские сведения;
  • номер телефона;
  • прочие сведения, которые могут идентифицировать работника.

Сведения о заработной плате сотрудника также являются информацией, содержащей его персональные данные (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»).

Таким образом, любой документ, в котором содержится какая-либо информация о конкретном работнике, будет являться носителем его персональных данных. Ведь в заявлении о переводе сотрудник может указать сведения о своем заболевании. Или в объяснительной записке работник сошлется на расторжение брака. Не каждый захочет, чтобы личная жизнь стала достоянием общественности.

Работодатель не вправе сообщать персональные данные сотрудника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (абз. 2 ст. 88 ТК РФ).

Кого можно привлечь к ответственности

Чтобы привлечь к ответственности сотрудника за разглашение чужих персональных данных, нужно доказать следующее:

1) разглашенные сведения относятся к персональным данным другого работника;

2) эти сведения стали известны нарушителю в связи с исполнением им трудовых обязанностей;

3) сотрудник обязывался не разглашать такую информацию (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»).

Таким образом, привлечь к ответственности за разглашение персональных данных можно далеко не каждого.

ТК РФ позволяет работодателю уволить подчиненного, если он допустит утечку персональных данных своих коллег (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Приведем несколько примеров из судебной практики и проанализируем, какие обстоятельства влияли на разрешение конкретных дел.

Истец обратился в суд и просил признать увольнение по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ незаконным. Считал, что не допускал нарушений, за которые с ним расторгли трудовой договор. При трудоустройстве истец был ознакомлен с положением о защите персональных данных работников, с политикой информационной безопасности ответчика. Он также обязался не разглашать информацию, составляющую коммерческую тайну (секрет производства), служебную информацию работодателя и принял на себя обязательство о неразглашении персональных данных. В ходе рассмотрения дела выяснилось, что истец со своей рабочей электронной почты направил на внешний электронный адрес третьего лица некоторые документы. Например, заключение о выплате премии, положение о премировании, о выплате премии работнику после его увольнения, положение о социальном обеспечении работников. Таким образом, установлено и подтверждено документами, что истец с рабочего стационарного компьютера, принадлежащего ответчику, посредством корпоративной почты систематически направлял на внешний электронный адрес служебные документы, локальные нормативные документы, относящиеся к категории «служебная (конфиденциальная) информация», и персональные данные сотрудников. Суд оставил в силе приказ об увольнении (апелляционное определение Московского городского суда от 16.06.2016 по делу № 33-23105/2016).

На ком лежит ответственность за разглашение персональных данных

С 1 июля 2017 года повысились размеры штрафов за разглашение персональных данных работников. Поэтому особую актуальность приобрел вопрос: всегда ли работники понимают, что именно является персональными данными и что значит «запрещено разглашать».

История

— Кто сказал моей жене размер зарплаты?! — бушевал в коридоре сотрудник. — Да я сейчас в прокуратуру пойду, вы не имели право это делать!

На шум выглянул директор.

— Что мы не имели права делать?

— Сообщать жене мою настоящую зарплату!

— А кто сообщил?

— Не знаю! Не признается добровольно, пускай прокурор выясняет! Сумма-то ей откуда-то стала известна!

Вскоре выяснилось, что информацию разгласила секретарь директора.

— Ну я же не знала, что это жена, — оправдывалась девушка. — Она представилась работницей банка, оттуда же все время звонят, поданные сведения уточняют…

— И ты вот так всем без разбора отвечаешь? — удивилась главбух.

— Ну да…

— Надо либо прекратить отвечать на телефонные звонки банков, предупредив об этом сотрудников, либо менять форму заявления о предоставлении сведений о зарплате. Вставить туда согласие работника на разглашение конкретной информации по телефону любому человеку, представившемуся сотрудником определенного банка. Согласится — берет ответственность за передачу информации на себя, не согласится — отказываемся разговаривать с банками, опять- таки за последствия данного решения будет отвечать работник. Копии будем передавать Валентине. Нет разрешения — нет разговора.

Секретарша кивнула.

— Ну а за мою жену кто ответит?!

— Жена чья? — спросил директор. — Может, ты семейные проблемы без нас решишь?

— Нет, это уже не семейная проблема! Нарушили закон — отвечайте, как руководитель организации!

— И сильно реальная сумма отличается от озвученной жене? — спросила бухгалтер.

— На четверть.

— Дайте мне ее телефон.

— Это еще зачем?!

— Ну, вы же просили разрешить конфликт.

Работник, подозрительно косясь по сторонам, продиктовал номер, имя и отчество жены.

— Марина Евгеньевна, добрый день. С вами говорит главный бухгалтер с работы вашего мужа. Я хочу принести извинения за нашего секретаря. Она, по излишней доброте, называет представителям банков зарплаты сотрудников несколько выше реальных. Благодаря вам и Алексею Максимовичу нам это стало известно, за что вам и ему отдельное спасибо. Больше у нас такое не повторится… Да, и вам всего хорошего.

— Она же теперь решит, что у меня с вами роман! — схватился за голову сотрудник.

— Алексей! — слегка повысил голос директор.

— Ой, извините… За зарплату спасибо, но вы же ее не знаете…

— Надеюсь, у нас еще не приняли закон, обязывающий лично знакомиться с супругами работников? И остальные семейные проблемы ты в состоянии решить сам?

— Постараюсь….

Шпаргалка

Проверять соблюдение работодателем требований к работе с персональными данными могут ГИТ и Роскомсвязьнадзор. Трудовая инспекция проверяет только соответствие нормам, указанным в главе 14 ТК . Нарушения, выявленные инспектором, подпадают под действие частей 1 и 2 ст. 5.27 КоАП. Для должностного лица предусмотрен штраф от 1000 до 5000 руб., за повторное нарушение штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет. Срок давности — один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ).

Представители Роскомсвязнадзора при выявлении нарушений руководствуются ст. 13.11 КоАП. В частности, разглашение информации о заработной плате и иных доходах гражданина влечет наложение штрафа на должностное лицо в размере от 10 000 до 20 000 рублей; на организацию от 15 000 до 75 000 рублей.

Срок давности для административной ответственности перед Роскомсвязьнадзором три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ).

Помимо административной ответственности на работника можно возложить материальную (ст. 238 ТК), дисциплинарную (вплоть до увольнения по пп. «в» п. 6 ст. 81 ТК — разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника), а на руководителя и главного бухгалтера организации еще и уголовную (ст. 137 УК).

Ссылка на основную публикацию
Для любых предложений по сайту: [email protected]