Организация работы с персональными данными. Изменения с 1 июля 2017 г.

С 1 июля 2017 ужесточена ответственность за нарушения при работе с персональными данными физических лиц. Это затронет всех без исключения работодателей, а также всех тех, кто связан со сбором и хранением данных по физическим лицам. Любые сведения о гражданине, имеющие к нему прямое или косвенное отношение, считаются персональными данными. К ним можно отнести:

  • ФИО;
  • адрес проживания;
  • дату рождения;
  • семейное положение;
  • полученное образование;
  • реквизиты паспорта;
  • занимаемая должность (профессия);
  • уровень дохода;
  • наличие какой-либо собственности;
  • социальное положение в обществе;
  • и т. п.
При трудоустройстве гражданин предоставляет уполномоченному лицу всю необходимую личную информацию, в свою очередь работодатель должен обеспечить сохранность этих сведений, так как персональные данные гражданина – строго конфиденциальная информация. Следует отметить, что работодатели не имеют права требовать персональные данные, не относящиеся к трудовой деятельности. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя, ведь такая информация никак не может быть связана с выполнением трудовых обязанностей.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность.

Дисциплинарная ответственность. В случае нарушения правил обработки, хранения и защиты персональных данных, работодатель может наказать своего работника, применив к нему одно из следующих взысканий: замечание, выговор, увольнение.

Материальная ответственность. Если в связи с нарушением правил работы с персональными данными, организации причинен прямой действительный ущерб, наступает материальная ответственность. При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных, при неполной, работодатель имеет возможность возложить на виновного сотрудника ограниченную материальную ответственность в пределах его среднего месячного заработка.

Административная ответственность. Наказание применяется к работодателям или должностным лицам и устанавливается в виде штрафов:

  • для должностных лиц: от 500 до 1000 рублей;
  • для организации: от 5 000 до 10 000 рублей.
За разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей, для должностных лиц существует отдельный штраф, от 4000 до 5000 рублей.

Уголовная ответственность. Для ответственного за работу с персональными данными лица, может наступить уголовная ответственность за следующие действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну (без его согласия);
  • распространение сведений о работнике для широкого круга лиц

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

  • штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

  • штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
  • арестом на срок от четырех до шести месяцев;
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Как защищать персональные данные?

В соответствии с законом «О персональных данных», необходимо применять меры от несанкционированного, в том числе и случайного, доступа посторонних лиц:

  • разработку и внедрение в организации пакета локальной организационно-распорядительной документации, регламентирующей порядок обработки и защиты персональных данных, ознакомление с документами сотрудников и ответственных лиц, а также ограничение числа работников которым будет открыт доступ к персональным данным;
  • утверждение перечня документов, содержащих персональные данные;
  • ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. выявление и устранение нарушений требований по защите персональных данных;
  • утверждение порядка уничтожения информации;
  • введение физической охраны территории, внедрение систем видеонаблюдения, охранной сигнализации, усиление дверей и замков в помещения, установку решеток на окна первого и последнего этажей здания
  • организацию хранения материальных носителей персональных данных;
  • внедрение пропускной системы на территорию организации;
  • внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных не установлены, однако существует необходимый минимум документов, которые должны быть разработаны в компании:

  • положение о персональных данных или иные документы определяющий политику фирмы в отношении обработки персональных данных;
  • список лиц, допущенных к персональным данным;
  • приказ о ответственного за организацию обработки персональных данных сотрудника;
  • локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Передача персональных данных третьим лицам

Поводов масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т.д. Как быть в такой ситуации? Вариантов несколько, например, следует получить письменное согласие сотрудника на передачу персональных данных третьим лицам. Такой вариант подойдет если организация не большая. Если организация крупная, то можно сделать коллективный договор с работниками и перечислить там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные, далее собираем подписи каждого работника.

Изменения с 1 июля 2017 года

Президентом России Владимиром Путиным подписан закон, предусматривающий повышение штрафов за нарушения, допускаемые при работе с персональными данными. Документ полностью изменил содержание статьи 13.11 КоАП. Закон вступит в силу с 1 июля 2017 г.

Согласно новой редакции ответственность за нарушения в сфере обработки персональных данных будет возникать тогда, когда:

  1. произведена обработка персональных данных, хотя данный случай не предусмотрен законодательством, а также когда данная работа несовместима с целями сбора персональных данных, но указанные действия не содержат уголовно наказуемого деяния;
  2. работа с данными проводится при отсутствии соответствующего согласия субъекта персональных данных, оформленного в письменном виде, либо она выполнена с нарушениями;
  3. оператор не исполнил обязанность, предусмотренную законодательно, по публикации или обеспечению другим путем неограниченного доступа к документу, в котором определена политика оператора в сфере обработки персональных данных, и информации о реализуемых требованиях по защите персональных данных;
  4. субъекту персональных данных не предоставили сведения, касающиеся обработки именно его персональных данных;
  5. нарушены сроки, установленные законодательством в данной сфере;
  6. не обеспечен должный уровень сохранности персональных данных, включая доступ сторонних лиц к автоматизированным системам, содержащим указанные сведения, а также к материальным носителям персональных данных;
  7. персональные данные не были обезличены
Нарушение законодательства в данной сфере будет чревато штрафом не менее, чем в 75 000 рублей для юридических лиц и 20 000 рублей для индивидуальных предпринимателей.

Чиновники отмечают, что новые правила составлены на основе практики Роскомнадзора, а предлагаемые наказания более мягкие, нежели принятые в европейских странах.

В целях ускорения делопроизводства по подобным делам Роскомнадзору, возможно, расширят полномочия, разрешив, минуя прокурорскую проверку, открывать дела об административных правонарушениях по статье 13.11 КоАП РФ.