перевірки Роскомнадзора

ПЕРЕВІРКИ Роскомнадзор. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

Обробляючи персональні дані, роботодавець здійснює такі дії: збір, систематизацію, накопичення, зберігання, уточнення, оновлення, зміна, знеособлення, блокування, знищення, використання, поширення та передачу. На роботодавця також накладаються деякі обмеження. Так, роботодавець не має права:

- розголошувати персональні дані працівника без його письмової згоди (виключення - випадки, коли це необхідно з метою запобігання загрози життю і здоров'ю працівника, а також випадки, передбачені законом);

- повідомляти персональні дані працівника в комерційних цілях;

- запитувати інформацію про стан здоров'я працівника, якщо ця інформація не має відношення до його трудових обов'язків.

Зрозуміло, при прийомі на роботу нового співробітника роботодавець прагне дізнатися про нього якомога більше, просить надати необхідні (а іноді й не дуже необхідні) документи, адже повнота відомостей про працівника дозволить вибудувати з ним нормальні трудові правовідносини в майбутньому. Як правило, приймаючи на роботу нового співробітника, роботодавець отримує доступ до персональних даних. Ці дані містяться в документах, що подаються співробітником при влаштуванні на роботу (згідно зі ст. 65 ТК РФ):

- військовому квитку (у військовозобов'язаних);

- свідоцтві про присвоєння ІПН;

- страховому пенсійному свідоцтві;

- документах про освіту (в тому числі і додатковій освіті, якщо працівник подає їх при прийомі на роботу або це потрібно при виконанні певних трудових функцій);

- водійському посвідченні - в разі необхідності;

- медичній довідці про проходження медичного огляду за визначеною формою - також в разі необхідності.

Цей перелік є загальним, але не вичерпним, т. К. В ч. 2 ст. 65 ТК сказано, що можуть бути затребувані і інші документи, передбачені нормативними актами. Якщо в нормативних актах не передбачено спеціальні документи для конкретної організації, роботодавець не має права вимагати їх від співробітників. Однак роботодавець часто нехтує цим правилом і запитує у потенційного працівника інформацію, що не відноситься до його майбутньої спеціальності. Наприклад, роботодавець формально не має права запитувати у працівника рекомендації, однак їх уявлення часто грає на користь працівника. Будь-яку інформацію, не встановлену в законі, роботодавець може вимагати від третіх осіб лише з письмової згоди працівника.

Згідно п. 8 ст. 86 Трудового кодексу РФ, працівники та їх представники повинні бути ознайомлені під розпис з документами роботодавця, що встановлюють порядок обробки персональних даних працівників, а також про їхні права та обов'язки в цій області.

На сьогоднішній день не передбачено відповідальності за надлишковий збір інформації, чим і користуються роботодавці. Сильна конкуренція на ринку робочої сили призводить до того, що працівник беззаперечно повідомляє про себе більш повну інформацію, ніж того вимагає закон. Звичайно, збір інформації не порушує закон, а ось за незаконне поширення персональних даних роботодавець вже може бути притягнутий до відповідальності.

Розглянемо, як саме відбуваються перевірки організацій Роскомнадзором і що входить в компетенцію перевіряючих.

Все йде за планом?

Існує два види перевірок: планові та позапланові. Планові перевірки проводяться відповідно до затвердженого графіка, ознайомитися з яким можна на офіційному сайті Роскомнадзора: www. rsoc. ru. Позапланові перевірки проводяться, як правило, на підставі скарги, що надійшла від юридичної особи чи громадянина. Після надходження скарги працівники Роскомнадзора повинні її розглянути і прийняти рішення про проведення позапланової перевірки або про відсутність підстав для проведення перевірки.

Це треба знати. Здобувач не є суб'єктом, на якого поширюється законодавство про персональні дані.

Роскомнадзор заздалегідь у письмовій формі сповіщає організацію, в якій буде проводитися перевірка, про дату, підставах і тривалості її проведення.

Які ж порушення найчастіше допускає роботодавець?

Перш за все, це відсутність необхідної конфіденційності, кажучи простіше, витік інформації (персональних даних співробітника). По-друге, це відсутність необхідного письмової згоди працівника на обробку його персональних даних. По-третє, порушення термінів обробки або надання інформації за відповідним запитом. По-четверте, роботодавець часто не звертає в Роскомнадзор повідомлення про обробку персональних даних.

Це далеко не вичерпний перелік порушень, але ці порушення типові і зустрічаються найчастіше.

У ст. 64 Регламенту міститься перелік документів, які обов'язково будуть затребувані у роботодавця при проведенні перевірки. До них відносяться:

- повідомлення працівників про обробку персональних даних;

- письмові згоди співробітників та інших суб'єктів персональних даних на обробку відомостей про них;

- документи, що підтверджують знищення оператором персональних даних суб'єктів персональних даних після досягнення мети обробки;

- локальні акти оператора, що регламентують порядок і умови обробки персональних даних.

Хто за що відповідає?

Розглянемо питання про відповідальність роботодавця за порушення, виявлені під час перевірки. Деякі роботодавці помилково вважають, що якщо в їх організації персональні дані не обробляються автоматично, а зберігаються так, як було прийнято раніше (в картонних папках на полицях і в сейфах), то вони не повинні нічого міняти і нічого робити, оскільки дія Закону "Про персональних даних "на них не поширюється.

І це досить поширена помилка.

Допускаючи його, організація забуває про ст. 1 зазначеного Закону, в якій сказано, що Законом регулюються відносини, пов'язані з обробкою персональних даних, що здійснюється в тому числі юридичними особами, фізичними особами з використанням засобів автоматизації або без використання таких засобів, якщо обробка персональних даних без використання таких засобів відповідає характеру дій (операцій), що здійснюються з персональними даними з використанням засобів автоматизації.

Отже, будь-який роботодавець, який є оператором, зобов'язаний дотримуватися правил обробки персональних даних, в іншому випадку він може бути притягнутий до відповідальності за результатами перевірки Роскомнадзора.

Відповідальність роботодавця за порушення правил роботи з персональними даними поділяють на такі види: цивільну, кримінальну, адміністративну, дисциплінарну. Про це сказано і в ст. 24 Закону "Про персональних даних": особи, винні в порушенні Закону про персональні дані, несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством України відповідальність.

Розглянемо докладніше кожен з видів.

Статтею 13.11 Кодексу про адміністративні правопорушення передбачена адміністративна відповідальність за порушення порядку збирання, зберігання, використання або поширення персональних даних. Санкція даної статті передбачає попередження або накладення штрафу на громадян - від 300 до 500 руб .; на посадових осіб - від 500 до 1000 руб .; на організації - від 5000 до 10 000 руб. (Ст. 13.11 КоАП). За неподання, за несвоєчасне подання, за подання в неповному або перекрученому вигляді відомостей до держорганів передбачений штраф на громадян - від 100 до 300 руб .; на посадових осіб - від 300 до 500 руб .; на юридичних осіб - від 3000 до 5000 руб. (Ст. 19.7 КоАП РФ). Адміністративна відповідальність передбачена також ст. 13.14 Кодексу України про адміністративні правопорушення: розголошення інформації, доступ до якої обмежений федеральним законом (за винятком випадків, якщо її оприлюднення може тягне за собою кримінальну відповідальність), особою, яка одержала доступ до такої інформації у зв'язку з виконанням службових або професійних обов'язків, тягне за собою накладення штрафу на громадян - від 500 до 1000 руб .; на посадових осіб - від 4000 до 5000 руб. Якщо в ході перевірки буде встановлено, що розголошення персональних даних сталася з вини працівника, відповідального за їх зберігання і обробку, винний може бути притягнутий до адміністративної відповідальності.

У деяких випадках за розголошення персональних даних суб'єкт може бути притягнутий і до кримінальної відповідальності з підстав, передбачених у ст. 137 Кримінального кодексу, за порушення недоторканності приватного життя: незаконне збирання або розповсюдження відомостей про приватне життя особи, що складають його особисту або сімейну таємницю, без його згоди або поширення цих відомостей у публічному виступі, публічно демонструються твори або засобах масової інформації. У ч. 2 зазначеної статті - ті самі діяння, вчинені особою з використанням свого службового становища. Отже, якщо працівник, відповідальний за зберігання, обробку і використання персональних даних, зловживав своїм службовим становищем, використав свої повноваження для поширення відомостей, що стосуються приватного життя інших співробітників, він може бути притягнутий до кримінальної відповідальності.

Для винної особи, т. Е. Суб'єкта злочину, санкції, передбачені ст. 137 КК, набагато суворіше, ніж передбачені КоАП. У зазначеній статті КК передбачені не тільки штрафи, але й обмеження волі, а також заборона займатися певними видами діяльності та інші санкції. Правопорушення, визначені за цією статтею, належать до злочинів проти конституційних прав і свобод, оскільки зачіпають приватне життя особи, чиї права порушені.

До дисциплінарної відповідальності притягується працівник, безпосередньо має відношення до персональних даних, т. Е. Кадровик, менеджер по персоналу, працівник кадрової служби та (або) будь-який інший співробітник, відповідальний за зберігання і роботу з особистими справами і документами інших співробітників у зв'язку з виконанням своїх обов'язків.

За вчинення дисциплінарного проступку, в даному випадку - за розголошення персональних даних, до винного працівника можуть бути застосовані такі види стягнень: зауваження, догана, звільнення з відповідних підстав. При цьому необхідно розмежовувати час вчинення проступку: чи був вчинено проступок в період дії трудового договору або після розірвання трудового договору з працівником, відповідальним за зберігання персональних даних. Якщо проступок було вчинено після розірвання трудового договору, т. Е. Після припинення трудових правовідносин, то працівник уже не є суб'єктом дисциплінарної відповідальності. Отже, застосувати до працівника зауваження або догану вже неможливо, так само як і звільнити з відповідних підстав. Якщо роботодавець зазнав серйозних збитків через розголошення персональних даних після припинення трудових правовідносин з співробітником, відповідальним за обробку та зберігання персональних даних, можна спробувати стягнути його з працівника в судовому порядку (якщо в досудовому вирішити конфлікт не вдається і працівник відмовляється від відшкодування шкоди) .

Матеріальна відповідальність передбачена ст. 238 ТК, де сказано, що під прямою дійсною шкодою також розуміється необхідність відшкодування збитку третім особам. У разі якщо шкода роботодавцю або працівникові був допущений з вини особи, відповідальної за нерозголошення персональних даних, роботодавець може залучити винного до матеріальної відповідальності. Крім того, п. 7 ч. 1 ст. 243 ТК України встановлює випадки притягнення працівника до повної матеріальної відповідальності за розголошення ним відомостей, що становлять охоронювану законом таємницю (державну, службову, комерційну або іншу), у випадках, передбачених федеральними законами.

Говорячи про відповідальність працівника, не можна не згадати про обов'язок роботодавця за рахунок власних коштів забезпечувати захист персональних даних працівників від неправомірного їх використання або втрати. Роботодавець зобов'язаний забезпечити порядок зберігання персональних даних, який би обмежував несанкціонований доступ до них (п. 7 ст. 86 ТК РФ). Для цього роботодавець відповідно до ст. ст. 8 і 22 ТК Україна наділений повноваженнями щодо прийняття в межах своєї компетенції локальних нормативних актів, що встановлюють порядок зберігання і обробки персональних даних, а також доступу до них. Причому видання таких актів - прямий обов'язок роботодавця, в разі невиконання якої він може бути притягнутий до адміністративної відповідальності з підстав, зазначених у ст. 5.17 КоАП.

Керуючись ст. 57 ТК РФ, умови про встановлення відповідальності працівника, наділеного повноваженнями зі зберігання, обробки персональних даних, також слід включити в трудовий договір.

Отже, питання зберігання і обробки персональних даних є важливим в процесі побудови трудових правовідносин між працівником і роботодавцем, причому навіть після припинення трудових правовідносин. Працівнику, відповідальному за зберігання і обробку даних, слід бути дуже акуратним, відповідально ставитися до питання зберігання і обробки і повністю дотримуватися чинного законодавства, що регулює ці питання. Роботодавцю слід встановити порядок зберігання, обробки і захисту персональних даних, адже саме роботодавець повинен забезпечити відповідального за зберігання працівника всім необхідним (наприклад, сейфом, захищеним комп'ютером, окремим робочим місцем і т. Д.) Для виконання своїх обов'язків по зберіганню і обробці персональних даних .