к какой ответственности может быть привлечен работник за нарушение требований по обработке пдн
К какой ответственности может быть привлечен работник за нарушение требований по обработке пдн
КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных
(в ред. Федерального закона от 07.02.2017 N 13-ФЗ)
(см. текст в предыдущей редакции)
(в ред. Федерального закона от 11.06.2021 N 206-ФЗ)
(см. текст в предыдущей редакции)
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
(часть 1.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)
(в ред. Федерального закона от 11.06.2021 N 206-ФЗ)
(см. текст в предыдущей редакции)
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
(часть 2.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
(часть 5.1 введена Федеральным законом от 24.02.2021 N 19-ФЗ)
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
влечет наложение административного штрафа на должностных лиц в размере от шести тысяч до двенадцати тысяч рублей.
(в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
(см. текст в предыдущей редакции)
(часть 8 введена Федеральным законом от 02.12.2019 N 405-ФЗ)
(часть 9 введена Федеральным законом от 02.12.2019 N 405-ФЗ)
(примечание введено Федеральным законом от 02.12.2019 N 405-ФЗ; в ред. Федерального закона от 24.02.2021 N 19-ФЗ)
Ответственность за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. «Виды ответственности за нарушение закона о персональных данных»
Вид ответственности
Нарушение
Санкция
Норма
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных
Предупреждение или административный штраф:
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных
Предупреждение или административный штраф:
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Предупреждение или административный штраф:
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)
Предупреждение или административный штраф:
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов
Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ
То же деяние, совершенное с использованием служебного положения
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий
Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан
Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование
Причинение лицу убытков в результате нарушения правил обработки его персональных данных.
Под убытками при этом понимаются:
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных
Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)
Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей
Иные нарушения в области персональных данных при их обработке
Статья 90 ТК РФ. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника (действующая редакция)
Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Комментарий к ст. 90 ТК РФ
1. В комментируемой статье устанавливается правило, согласно которому лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, могут быть привлечены к установленной законом ответственности. Также предусматривается, что такие лица несут дисциплинарную, материальную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
2. Под лицами, названными в ст. 90, следует понимать прежде всего представителей и других ответственных работников работодателя, в обязанности которых входит обработка и защита персональных данных работника. Такие лица за ненадлежащее исполнение указанных обязанностей могут привлекаться к дисциплинарной и даже к уголовной ответственности. О дисциплинарной ответственности названных лиц см. ст. ст. 192, 193 и 195 ТК.
Статья 81 ТК устанавливает возможность увольнения работника в связи с разглашением им охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением трудовых обязанностей, в т.ч. в связи с разглашением персональных данных другого работника.
3. Гражданско-правовая ответственность предусмотрена ст. 1472 ГК РФ. В соответствии с указанной статьей нарушитель исключительного права на секрет производства, в т.ч. лицо, которое неправомерно получило сведения, составляющие секрет производства, и разгласило или использовало эти сведения, обязан возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом.
Статья 15 ГК РФ устанавливает, что лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере.
Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).
Если лицо, нарушившее право, получило вследствие этого доходы, лицо, право которого нарушено, вправе требовать возмещения наряду с другими убытками упущенной выгоды в размере не меньшем, чем такие доходы.
4. Уголовный кодекс РФ устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни (ст. 137), неправомерный отказ должностного лица в предоставлении гражданину документов и материалов, затрагивающих его права и свободы (ст. 140), неправомерный доступ к охраняемой законом компьютерной информации (ст. 272).
В зависимости от тяжести деяния эти статьи предусматривают возможность применения к виновным лицам различных наказаний вплоть до лишения свободы.
6. Работник, которому в результате ненадлежащего хранения и использования персональных данных причинен ущерб, вправе взыскать его с работодателя (ст. 234 ТК).
Независимо от возмещения имущественного ущерба такой работник может потребовать компенсации морального вреда, т.е. причиненных ему физических и нравственных страданий (ст. 237 ТК).
В свою очередь, работодатель, привлеченный к административной ответственности или возместивший работнику причиненный ему ущерб, вправе привлечь к материальной ответственности конкретных виновников нарушения правил хранения и использования персональных данных (см. гл. 39 ТК).
К какой ответственности может быть привлечен работник за нарушение требований по обработке пдн
Ответственность за нарушение закона о персональных данных
Ст. 24 Закона «О персональных данных» установлено, что лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
Административная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьями:
— ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ) «Нарушение законодательства Российской Федерации в области персональных данных»:
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
— ст. 19.4 КоАП РФ «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль»:
— ст. 19.4.1 КоАП РФ «Воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора)», должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа муниципального контроля:
— ст. 19.5 КоАП РФ «Невыполнение в срок законного предписания (постановления, представления, решения)» органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль:
— ст. 19.7 КоАП РФ «Непредставление сведений (информации)»:
Дела об административных правонарушениях, предусмотренных статьями 13.11, 13.14, 19.4, 19.4.1, 19.5, 19.7 КоАП РФ, возбуждаются уполномоченным органом и рассматриваются судом.
Время публикации: 08.12.2015 09:40
Последнее изменение: 08.02.2019 15:44
Проверка Роскомнадзора: как подготовиться работодателю
эксперт по трудовому законодательству, преподаватель по трудовому праву
Тема охраны персональных данных касается всех, кто работает с кадровыми документами. В этой статье разберем, какие требования установлены на законодательном уровне и что может стать объектом проверки Роскомнадзора
На какие документы опираться работодателю
Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты»В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.
Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.
В конце статьи есть шпаргалка
К владельцам персональных данных относятся:
Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как их хранить, на каких носителях, как их защищать и пр.
Что проверяет Роскомнадзор
Постановка на учет
Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.
Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес.
Как проверить, стоит ли организация на учете
Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.
Ответственный за организацию работы с персональными данными
В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора.
О том, как работать с персональными данными, читайте в интервью Марии Финатовой
Внутренняя политика по персональным данным
Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.
Локальные нормативные акты
Это те документы, которые содержат конкретные правила и условия работы:
Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.
Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.
Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:
Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.
Хранение и уничтожение персональных данных
Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:
В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.
Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.
Информационные системы
Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.
Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.
Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.
В конце статьи есть шпаргалка
Жалобы о нарушении прав субъектов персональных данных
Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:
Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.
О том, что нового появится в работе с персональными данными, расскажем на бесплатном вебинаре «Законодательные изменения по персональным данным работников. Чек-лист для кадровика».
Вместо заключения
Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.
Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
Перечень НПА для оператора персданных 630.2 КБ