Обязанность работодателя по защите персональных данных
Вопрос:
Как работодатель обязан защищать персональные данные, какая ответственность будет применяться к работодателям?
Ответ:
О способах защиты персональных данных работников приведено в обосновании.
Нарушение порядка сбора, хранения, использования или распространения персональных данных работников влечет предупреждение или наложение административного штрафа:
- на должностных лиц - от 500 до 1 000 рублей;
- на юридических лиц - от 5 000 до 10 000 рублей.
Обоснование:
В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон от 27.07.2006 N 152-ФЗ) каждый работодатель должен обеспечить защиту персональных данных своих сотрудников и принять все необходимые меры во избежание следующих правонарушений:
- кража персональных данных;
- изменение персональных данных;
- блокирование персональных данных;
- копирование персональных данных;
- разглашение информации о персональных данных и другие незаконные действия, указанные в Федеральном законе от 27.07.2006 N 152-ФЗ.
Защита персональных данных работников от неправомерного их использования или утраты должна быть обеспечена работодателем за счет средств самого работодателя.
При этом меры защиты персональных данных должны разрабатываться совместно работниками и работодателем (ст. 86 Трудового кодекса РФ).
В соответствии с гл. 14 Трудового кодекса РФ каждый работодатель обязан разработать и ввести в действие локальный нормативный акт, которым определяется порядок работы и защиты персональных данных работников.
Как правило, таким локальным актом является Положение о защите персональных данных работников.
Положение о защите персональных данных работников должно содержать:
- указания о способах и порядке сбора, обработки, хранения, уничтожения персональных данных работников;
- общие положения о способах защиты данных;
- случаи обработки персональных данных с привлечением третьих лиц с согласия работника и случаи, когда согласие не требуется.
В соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ для защиты персональных данных работника работодатель обязан применять меры от несанкционированного, в том числе и случайного, доступа посторонних лиц, модификации, копирования, распространения, уничтожения и других несанкционированных действий.
Организационные способы защиты персональных данных могут включать в себя:
- разработку и внедрение документации, регламентирующей порядок обработки и защиты персональных данных, ознакомление с документами сотрудников и ответственных лиц;
- введение физической охраны территории, внедрение систем видеонаблюдения, охранной сигнализации, усиление дверей и замков в помещениях, установку решеток на окна первого и последнего этажей здания;
- организацию хранения материальных носителей персональных данных работников в сейфах, металлических запирающихся шкафах;
- внедрение пропускной системы на территорию организации и в помещения, в которых хранятся и (или) обрабатываются персональные данные работников, установление контролируемой зоны;
- обучение, периодическое повышение квалификации сотрудников, ответственных за организацию системы защиты персональных данных работников;
- осуществление аудита или внутреннего контроля обработки персональных данных работников на соответствие принятым в организации мерам, нормативным и локальным актам;
- организацию постоянного контроля защищенности персональных данных, работоспособности средств защиты, исполнения обязанностей ответственными сотрудниками;
- расследование инцидентов, связанных с нарушением безопасности персональных данных работников, и привлечение виновных лиц к дисциплинарной, административной и другим видам ответственности и т.п.
Технические способы обеспечения информационной безопасности могут включать в себя:
- программную или программно-техническую защиту от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест;
- организацию безопасного межсетевого взаимодействия при подключении информационных систем персональных данных к локальным сетям общего пользования или к сети Интернет;
- применение систем шифрования персональных данных работников при необходимости их передачи по открытым каналам связи;
- защиту персональных данных работников, обрабатываемых в информационных системах, от вредоносного программного обеспечения, вирусов и т.д.
В соответствии с п.п. "г" п. 13 Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" все технические средства, применяемые для защиты персональных данных, должны быть подвергнуты оценке соответствия требованиям в установленном порядке, т. е. сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК) или Федеральной службой безопасности России (ФСБ России).
Обращаем Ваше внимание, что ст. 10, ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ установлены специальные категории персональных данных, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения персональных данных работодателем.
К специальным категориям персональных данных работника относятся:
- расовая, национальная принадлежность;
- политические взгляды, религиозные или философские убеждения;
- состояние здоровья, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека.
При передаче персональных данных работника работодатель должен соблюдать следующие требования, закрепленные в ст. 88 Трудового кодекса РФ:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами РФ;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).
Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами РФ:
- осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Лица, виновные в нарушении требований законодательства РФ, касающихся работы с персональными данными работников, могут быть привлечены:
- к дисциплинарной ответственности с соблюдением порядка, предусмотренного ст. 193 Трудового кодекса РФ;
- к административной ответственности по ст. 13.11 КоАП РФ.
Нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных влечет предупреждение или наложение административного штрафа (ст. 13.11 КоАП РФ):
- на должностных лиц - от 500 до 1 000 рублей;
- на юридических лиц - от 5 000 до 10 000 рублей.
Обращаем Ваше внимание, что с 01.07.2017 Федеральным законом от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" будут внесены изменения в ст. 13.11 КоАП РФ, в соответствии с которыми повышается ответственность за нарушение законодательства РФ в области персональных данных.
Пермитина Дарья Сергеевна
эксперт Службы поддержки пользователей
Данная консультация бесплатно предоставлена пользователю профессиональной справочной системы «Кодекс: Помощник кадровика» в рамках стандарта обслуживания.
Настоящий материал является ответом на частный запрос и может утратить свою актуальность в связи с изменением законодательства.