Обязанность работодателя по защите персональных данных

Вопрос:

Как работодатель обязан защищать персональные данные, какая ответственность будет применяться к работодателям?

Ответ:

О способах защиты персональных данных работников приведено в обосновании.

Нарушение порядка сбора, хранения, использования или распространения персональных данных работников влечет предупреждение или наложение административного штрафа:

• на должностных лиц - от 500 до 1 000 рублей;
• на юридических лиц - от 5 000 до 10 000 рублей.   

Обоснование:

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон от 27.07.2006 N 152-ФЗ) каждый работодатель должен обеспечить защиту персональных данных своих сотрудников и принять все необходимые меры во избежание следующих правонарушений:

• кража персональных данных;
• изменение персональных данных;
• блокирование персональных данных;
• копирование персональных данных;
• разглашение информации о персональных данных и другие незаконные действия, указанные в Федеральном законе от 27.07.2006 N 152-ФЗ.

Защита персональных данных работников от неправомерного их использования или утраты должна быть обеспечена работодателем за счет средств самого работодателя.

При этом меры защиты персональных данных должны разрабатываться совместно работниками и работодателем (ст. 86 Трудового кодекса РФ).

В соответствии с гл. 14 Трудового кодекса РФ каждый работодатель обязан разработать и ввести в действие локальный нормативный акт, которым определяется порядок работы и защиты персональных данных работников.

Как правило, таким локальным актом является Положение о защите персональных данных работников.

Положение о защите персональных данных работников должно содержать:

• указания о способах и порядке сбора, обработки, хранения, уничтожения персональных данных работников;
• общие положения о способах защиты данных;
• случаи обработки персональных данных с привлечением третьих лиц с согласия работника и случаи, когда согласие не требуется.

В соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ для защиты персональных данных работника работодатель обязан применять меры от несанкционированного, в том числе и случайного, доступа посторонних лиц, модификации, копирования, распространения, уничтожения и других несанкционированных действий.

Организационные способы защиты персональных данных могут включать в себя:

• разработку и внедрение документации, регламентирующей порядок обработки и защиты персональных данных, ознакомление с документами сотрудников и ответственных лиц;
• введение физической охраны территории, внедрение систем видеонаблюдения, охранной сигнализации, усиление дверей и замков в помещениях, установку решеток на окна первого и последнего этажей здания;
• организацию хранения материальных носителей персональных данных работников в сейфах, металлических запирающихся шкафах;
• внедрение пропускной системы на территорию организации и в помещения, в которых хранятся и (или) обрабатываются персональные данные работников, установление контролируемой зоны;
• обучение, периодическое повышение квалификации сотрудников, ответственных за организацию системы защиты персональных данных работников;
• осуществление аудита или внутреннего контроля обработки персональных данных работников на соответствие принятым в организации мерам, нормативным и локальным актам;
• организацию постоянного контроля защищенности персональных данных, работоспособности средств защиты, исполнения обязанностей ответственными сотрудниками;
• расследование инцидентов, связанных с нарушением безопасности персональных данных работников, и привлечение виновных лиц к дисциплинарной, административной и другим видам ответственности и т.п.

Технические способы обеспечения информационной безопасности могут включать в себя:

• программную или программно-техническую защиту от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест;  
• организацию безопасного межсетевого взаимодействия при подключении информационных систем персональных данных к локальным сетям общего пользования или к сети Интернет;
• применение систем шифрования персональных данных работников при необходимости их передачи по открытым каналам связи;
• защиту персональных данных работников, обрабатываемых в информационных системах, от вредоносного программного обеспечения, вирусов и т.д.

В соответствии с п.п. "г" п. 13 Постановления Правительства РФ от 01.11.2012 N 1119  "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" все технические средства, применяемые для защиты персональных данных, должны быть подвергнуты оценке соответствия требованиям в установленном порядке, т. е. сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК) или Федеральной службой безопасности России (ФСБ России).

Обращаем Ваше внимание, что ст. 10, ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ установлены специальные категории персональных данных, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения персональных данных работодателем.

К специальным категориям персональных данных работника относятся:      

• расовая, национальная принадлежность;
• политические взгляды, религиозные или философские убеждения;
• состояние здоровья, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека.

При передаче персональных данных работника работодатель должен соблюдать следующие требования, закрепленные в ст. 88 Трудового кодекса РФ:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами РФ;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами РФ:

• осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Лица, виновные в нарушении требований законодательства РФ, касающихся работы с персональными данными работников, могут быть привлечены:

• к дисциплинарной ответственности с соблюдением порядка, предусмотренного ст. 193 Трудового кодекса РФ;
• к административной ответственности по ст. 13.11 КоАП РФ.

Нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных влечет предупреждение или наложение административного штрафа (ст. 13.11 КоАП РФ):                      

• на должностных лиц - от 500 до 1 000 рублей;
• на юридических лиц - от 5 000 до 10 000 рублей.   

Обращаем Ваше внимание, что с 01.07.2017 Федеральным законом от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" будут внесены изменения в ст. 13.11 КоАП РФ, в соответствии с которыми повышается ответственность за нарушение законодательства РФ в области персональных данных.

Пермитина Дарья Сергеевна

эксперт Службы поддержки пользователей