Персональні дані: особлива інформація
У роботодавця (організації або ІП) персональні дані працівників, найчастіше, узагальнюються в їх особових картках і особистих справах. При цьому майже кожен менеджер отелення кадрів або HR-фахівець знає, що персональні дані допускається отримувати тільки особисто від працівників. Якщо персональні відомості можливо отримати тільки від третіх осіб, то російське законодавство зобов'язує повідомити про це працівника і отримати від нього письмову згоду (пункт 3 частини 1 статті 86 Трудового кодексу РФ).
Роботодавці не мають права отримувати та обробляти персональні дані, що не мають прямого відношення до трудової діяльності людини. Тобто, збирати відомості, припустимо, про віросповідання співробітників - не можна. Адже така інформація представляє з себе особисту або сімейну таємницю і ніяк не може бути пов'язана з виконанням трудових обов'язків (пункт 4 частини 1 статті 86 Трудового кодексу РФ).
Як роботодавець зобов'язаний захищати персональні дані
Також у роботодавця повинен бути офіційно призначений працівник, який відповідає за роботу з персональними даними (ч. 5 ст. 88 ТК РФ). Їм може бути, наприклад, працівник відділу кадрів, які взаємодіє з особистими справами, отримує згоди працівників на обробку, веде картки співробітників і т.д.
Яка відповідальність застосовується до роботодавців
дисциплінарна відповідальність
До дисциплінарної відповідальності за порушення при роботі з персональними даними можна притягнути до відповідальності працівників, які в силу трудових відносин зобов'язані дотримуватися правил роботи з особистими даними, але порушили їх (ст. 192 ТК РФ). Тобто, притягнути до відповідальності можна, наприклад, менеджера відділу кадрів, якому доручена відповідна робота. За дисциплінарний проступок збору, обробки та зберігання персональних даних роботодавець може покарати свого працівника, застосувавши до нього одне з наступних стягнень (ч.1 ст. 192 ТК РФ):
Матеріальна відповідальність
Матеріальна відповідальність працівника може наступити, якщо в зв'язку з порушенням правил роботи з персональними даними організації заподіяно пряму дійсну шкоду (ст. 238 ТК РФ). Припустимо, що відповідальний працівник відділу кадрів допустив грубе порушення - поширив персональні дані співробітників в мережі Інтернет. Працівники, дізнавшись про це, подали на роботодавця до суду, який постановив: «виплатити постраждалим працівникам грошову компенсацію - 50 000 рублів кожному». У такій ситуації роботодавець має можливість покласти на винного співробітника відділу кадрів обмежену матеріальну відповідальність у межах його середнього місячного заробітку (ст. 241 ТК РФ). Стягнення заподіяної шкоди можна здійснити за розпорядженням керівника не пізніше одного місяця з дня остаточного встановлення розміру заподіяної співробітником шкоди. Якщо місячний термін минув, то стягнути збитки доведеться через суд. Такий порядок передбачений в статті 248 Трудового кодексу РФ.
При повну матеріальну відповідальність співробітник повинен буде повністю відшкодувати організації всю суму збитку, що виник у зв'язку з порушеннями в сфері персональних даних (ст. 242 і 243 ТК РФ). Однак, як правило, на працівників, відповідальних за обробку персональних даних повну матеріальну відповідальність не покладають.
Дисциплінарну та матеріальну відповідальність роботодавець (наприклад, комерційна організація) застосовує виключно на свій розсуд. Державні контролюючі органи (в тому числі. Роскомнадзор) в цьому процесі участі не приймають.
адміністративна відповідальність
За порушення порядку збирання, зберігання, використання або поширення персональних даних роботодавця і посадових осіб контролюючих органів можуть притягнути до адміністративної відповідальності у вигляді штрафів, які можуть становити:
- для посадових осіб (наприклад, генерального директора, головного бухгалтера, кадровика або індивідуального підприємця): від 500 до 1000 рублів;
- для організації: від 5000 до 10 000 рублів.
Кримінальна відповідальність
Кримінальна відповідальність для директора, головного бухгалтера або начальника відділу кадрів компанії або іншої особи, відповідальної за роботу з персональними даними, може наступити за незаконні дії:
- збір або розповсюдження відомостей про приватне життя співробітника, що складають його особисту або сімейну таємницю, без його згоди;
- поширення відомостей про працівника в публічному виступі, публічно демонструються твори або ЗМІ.
За такі порушення в частині поводження з персональними даними допускаються наступні заходи кримінальної відповідальності:
- штраф до 200 000 рублів (або в розмірі доходів засудженого за період до 18 місяців);
- обов'язкові роботи на строк до 360 годин;
- виправні роботи на строк до одного року;
- примусові роботи на строк до двох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого;
- арешт на строк до чотирьох місяців;
- позбавлення волі на строк до двох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років.
Ті самі діяння, вчинені особою з використанням свого службового становища, караються жорсткіше:
Порушення 1: обробка персональних даних в «інших» цілях
на громадян - у розмірі від 1000 до 3000 руб .;
на посадових осіб - 5000 до 10 000 руб .;
на організацій - від 25 000 до 50 000 руб.