Персональные данные работника: за сохранность и защиту спрашивают строже. Правим личные данные сотрудника Работник обязан сообщить об изменении персональных данных

В жизни работников происходят различные события — заключение или расторжение брака, рождение детей, смена места жительства и пр. Результатом, как правило, является смена фамилии, места регистрации, изменение данных документа, удостоверяющего личность. В таких случаях перед кадровиком встает вопрос: в какие документы вносить изменения и как? Об этом расскажем ниже.

Персональные данные

Итак, изменились персональные данные работника. Статья 85 ТК РФ относит к ним информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» разъяснил, что относится к таким данным. Исходя из п. 1 ст. 3 к ним можно отнести:

— фамилию, имя, отчество;

— пол, возраст;

— место жительства;

— семейное положение, наличие детей, родственные связи;

— образование, квалификацию, профессиональную подготовку и сведения о повышении квалификации;

— состояние здоровья;

— привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);

— деловые, иные личные качества, которые могут способствовать идентификации человека.

Напомним, что в силу гл. 14 ТК РФ работодатель обязан обеспечить защиту персональных данных.

Во-первых…

У работника изменились какие-либо учетные данные? Ему необходимо уведомить кадровое подразделение об этом. Как? Написать заявление в произвольной форме. Можно заранее заготовить бланки, в специально отведенные графы которых работники будут вписывать изменившиеся данные.

Во-вторых…

На основании такого заявления составляется (в произвольной форме) приказ о внесении изменений в учетные документы и обязательно регистрируется в журнале. С этим документом нужно ознакомить работника, чьи документы требуют изменений, а также бухгалтерию.

В-третьих…

На основании приказа следует внести изменения:

1. В личную карточку (форма Т-2). Правил исправления сведений в данном документе нет, поэтому поступим так: одной чертой зачеркнем прежнюю фамилию и сверху впишем новую. Исправление нужно заверить подписью кадрового работника и поставить дату. Возникает вопрос: где указывать наименование документа, на основании которого изменяется фамилия? Полагаем, что не будет ошибкой указать его реквизиты в разделе Х личной карточки.

Возможно, придется изменять и другие пункты раздела I личной карточки:

— п. 6 «Образование» — если было заполнено, то через запятую добавляем новую запись, а ниже вписываем наименование учебного заведения и реквизиты документа, подтверждающего получение соответствующего уровня образования (например, диплома, аттестата);

— п. 10 «Состав семьи» можем дополнить новыми сведениями или вычеркнуть некоторые записи;

— сведения в п. 11 «Паспорт» также иногда изменяются, однако в форме личной карточки мало места для внесения новых данных, поэтому можно оформить вкладной лист формата А4, на котором и записать все необходимые данные;

— п. 12 «Адрес места жительства» — зачеркиваем старый адрес и вписываем новый.

2. В трудовую книжку (форма бланка утверждена Постановлением N 225). Поскольку трудовая книжка является основным документом о трудовой деятельности и трудовом стаже работника, порядок внесения изменений в нее строго регламентирован, в частности, Инструкцией по заполнению трудовых книжек, утвержденной Постановлением Минтруда РФ от 10.10.2003 N 69. В соответствии с п. 2.3 Инструкции изменения записей в трудовых книжках о фамилии, имени, отчестве и дате рождения производятся на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их номер и дату. При этом ссылки на соответствующие документы делаются на внутренней стороне обложки трудовой книжки и заверяются подписью работодателя или специально уполномоченного им лица и печатью организации (или печатью кадровой службы).

Обратите внимание! В случае выявления неправильной или неточной записи в трудовой книжке исправление ее производится по месту работы, где была внесена соответствующая запись. Если организация, которая произвела неправильную или неточную запись, реорганизована, то исправление производит ее правопреемник, а в случае ликвидации организации — работодатель по новому месту работы на основании соответствующего документа (п. 27, 28 Правил ведения и хранения трудовых книжек).

Измениться могут не только Ф. И.О., но и, например, сведения об образовании, профессии или квалификации. Если происходит их изменение, запись на первой странице (титульном листе) трудовой книжки о полученных новых образовании, профессии, специальности осуществляется путем дополнения имеющихся записей (если они уже имеются) или заполнения соответствующих строк без зачеркивания ранее внесенных записей. По аналогии с изменением ФИО иногда кадровики делают ссылку на дипломы и иные документы, удостоверяющие получение новой специальности, профессии и образования, на внутренней стороне обложки, хотя нормативными актами это не предусмотрено и не является обязательным требованием.

3. В документы по воинскому учету. На основании Методических рекомендаций по ведению воинского учета в организации, утвержденных Генштабом Вооруженных Сил РФ, работодатель или лицо, ответственное за ведение воинского учета в компании, обязаны сообщать в военкомат не только сведения о приеме или увольнении военнообязанных граждан. В их обязанность также входит сообщать об изменении:

— семейного положения;

— образования;

— структурного подразделения и должности;

— места жительства (места пребывания).

Итак, необходимо заполнить и вручить работнику листок сообщения об изменениях сведений о гражданах, состоящих на воинском учете, по форме согласно приложению 1 приложения 13 к Методическим рекомендациям под личную расписку в журнале учета листков сообщений и корешков к ним.

Если работник не сообщил в военный комиссариат изменившиеся сведения (не представил работодателю корешок листка сообщений с отметкой военного комиссариата), то лицо, ответственное за ведение воинского учета в организации, должно направить в двухнедельный срок в военный комиссариат по месту жительства (месту пребывания) граждан сведения по форме согласно приложению 2 приложения 13 к Методическим рекомендациям. Приведем образец бланка на стр. 43.

Сведения

Об изменениях семейного положения, образования, структурного подразделения организации, должности, места жительства или места пребывания, состояния здоровья (получении инвалидности) граждан, состоящих на воинском учете

4. В свидетельство государственного пенсионного страхования. На основании п. 26 Инструкции о порядке ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах, утвержденной Приказом Минздравсоцразвития РФ от 14.12.2009 N 987н, работник вправе обратиться к работодателю с заявлением об обмене страхового свидетельства или о выдаче его дубликата в случае изменения фамилии, имени, отчества, даты рождения, места рождения или пола застрахованного лица, установления неточности или ошибочности в сведениях, содержащихся в страховом свидетельстве.

Поэтому сотрудник кадровой службы в двухнедельный срок со дня получения от работника такого заявления должен подать в территориальный орган ПФР заявление об обмене страхового свидетельства вместе с описью документов. Формы заявления (АДВ-2) и описи (АДВ-6) утверждены Постановлением Правления ПФР от 31.07.2006 N 192п.

Пенсионный фонд в месячный срок после получения заявления об обмене страхового свидетельства принимает решение об обмене страхового свидетельства или об отказе в обмене.

Работодатель в течение недели после получения страхового свидетельства с измененными данными выдает его работнику, который должен проверить правильность содержащихся в страховом свидетельстве сведений и расписаться в сопроводительной ведомости в получении свидетельства.

Если возможности выдать страховое свидетельство нет (работник в длительной (свыше одного месяца) командировке, болеет и пр.), правильность сведений в этом документе проверяет сотрудник кадровой службы и расписывается за работника в сопроводительной ведомости. Напомним, что ее необходимо вернуть в территориальный орган ПФР в течение месяца после получения свидетельства.

5. В полис обязательного медицинского страхования. Пунктом 2 ст. 16 Федерального закона от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» и Правилами обязательного медицинского страхования установлено, что работник обязан уведомить страховую медицинскую организацию об изменении своих фамилии, имени, отчества, места жительства в течение одного месяца со дня, когда эти изменения произошли. Если у работника изменился адрес места жительства, он также в течение одного месяца должен выбрать новую страховую медицинскую организацию, если по новому месту жительства отсутствует медицинская организация, в которой ранее был застрахован гражданин.

Поэтому если компания не является представителем работника в фонде ОМС, тот должен сам явиться в страховую медицинскую организацию и оформить новый полис, представив документ, подтверждающий необходимость внесения изменений.

Работник, у которого изменились персональные данные, — руководитель

В таком случае кадровому сотруднику придется провести дополнительную работу. Так, если руководитель является одновременно учредителем юридического лица, кадровик совместно с юристом компании должны внести изменения в учредительные документы и устав.

Поскольку в единых государственных реестрах содержится информация о руководителе юридического лица, лице, имеющем право без доверенности действовать от имени компании, об индивидуальном предпринимателе, при изменении персональных данных таких лиц необходимо уведомлять налоговый орган.

Ранее на основании п. 5 ст. 5 Федерального закона от 08.08.2001 N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» юридическое лицо при изменении сведений о фамилии, имени, отчестве, месте жительства и паспортных данных руководителя юридического лица было обязано в течение трех рабочих дней с момента изменения указанных сведений сообщить об этом в регистрирующий (налоговый) орган. Теперь, в связи с принятием Федерального закона от 27.07.2010 N 227-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об организации предоставления государственных и муниципальных услуг», с 1 июля 2011 года делать это не нужно. Данная обязанность возложена на органы, осуществляющие выдачу и замену документов, удостоверяющих личность гражданина РФ на территории России, либо регистрацию физических лиц по месту жительства: они должны передать изменившиеся сведения в электронной форме не позднее пяти рабочих дней со дня выдачи соответствующего документа либо регистрации указанных лиц по месту жительства.

Довольно часто бухгалтер «попутно» выполняет роль кадровика. И это неудивительно, ведь кадровая работа теснее всего связана именно с работой бухгалтерии. И хотя кадровая документация в сравнении с бухгалтерской являет собой прямо таки образец простоты и понятности, тем не менее, кадровая работа иногда подкидывает бухгалтеру сложные задачки.

В настоящей статье мы решили ограничиться лишь минимально необходимыми пояснениями к той или иной ситуации, которая может вызвать вопросы у бухгалтера, выполняющего функции кадровика. Основное же место в статье будет уделено конкретным инструментам решения проблемы. Ведь, согласитесь, найти объяснение того, как надо поступить в той или иной ситуации, обычно не составляет большого труда. Гораздо сложнее найти конкретику — что именно надо сделать, какие документы и как оформить и т п.

Ситуация первая: смена фамилии

Начнем с самой, наверное, распространенной ситуации, которая, тем не менее, вызывает постоянные вопросы. Речь идет о смене сотрудником (чаще — сотрудницей) фамилии. Очевидно, что в таком случае потребуется внести изменения в кадровую документацию, например, в трудовой договор, трудовую книжку и личную карточку сотрудника. Однако для внесения таких изменений нужно основание. Таким основанием будут являться документы, подтверждающие смену фамилии, представленные самим работником. А вот о том, чтобы работник представил эти документы, стоит позаботиться заранее, и включить в трудовой договор стандартное условие о том, что работник обязан сообщать работодателю о смене ФИО, паспорта, места жительства и других личных данных, указанных в трудовом договоре.

В принципе, для начала процедуры внесения изменений в кадровый учет, достаточно просто получить от сотрудника документы, подтверждающие изменение фамилии — новый паспорт, свидетельство о заключении брака. С этих документов нужно снять копии, и заверить их штампом (печатью) организации и подписью бухгалтера. Однако мы рекомендуем все же попросить сотрудника подписать вот такое заявление:

Мурашову Е.Д.

Деминой Р.К.

ЗАЯВЛЕНИЕ

В связи с произошедшей после заключения брака сменой фамилии (прежняя фамилия Рыкова, новая фамилия Демина) и получением нового паспорта, прошу внести необходимые изменения в кадровую и иную документацию, содержащую мои персональные данные.

Приложения:

2. Копия свидетельства о заключении брака.

Демина Р.К.

Получение такого заявления позволит качественнее организовать документооборот, поскольку документы о смене фамилии окажутся «привязанными» к данному заявлению. А значит, и через несколько лет любому открывшему личное дело (в том числе и проверяющему) будет понятно, почему в деле находятся именно эти документы, и что важно — в какой момент организации стало известно о смене фамилии сотрудницы. Кроме того, при необходимости на этом заявлении можно ставить визы и прочие отметки, если система документооборота, принятая в организации, это предполагает.

Не забудьте также сразу дать сотруднику на подпись заявление по форме АДВ-2 (утв. постановлением Правления ПФ РФ от 31.07.06 № 192п). Это заявление нужно для того, чтобы начать процедуру замены страхового свидетельства государственного пенсионного страхования. Сделать это все равно придется, поэтому лучше оформить все заявления сразу и больше не отвлекать сотрудника.

После получения заявления, можно готовить приказ о внесении изменений в кадровую и прочую учетную документацию. Так, помимо уже названных трудового договора, трудовой книжки и личной карточки, потребуется внести изменения в лицевой счет, График отпусков, карточку по страховым взносам, карточку по . Если на сотрудника была оформлена доверенность, то ее тоже придется переделать. Кроме того, если заработная плата перечисляется на банковскую карту, оформленную работодателем, то придется инициировать процедуру замены карточки, а если фирма предоставляет работнику страховку ДМС, то и процедуру замены полиса. Соответственно, все эти моменты нужно отразить в приказе, который будет выглядеть примерно так:

ООО «Первый»

ПРИКАЗ

Приказываю :

1.1. Подготовить дополнительное соглашение к трудовому договору с Деминой Р.К., учитывающее изменение ее персональных данных (фамилии и паспортных данных).

1.2. Внести в трудовую книжку Деминой Р.К. информацию о смене фамилии.

1.3. Внести в личную карточку Деминой Р.К. информацию о смене фамилии и паспортных данных.

1.4. Внести изменения, связанные со сменой Деминой Р.К. фамилии, в Табель учета рабочего времени, График отпусков и лицевой счет.

1.5. Обеспечить учет новых персональных данных Деминой Р.К. при составлении налоговой отчетности и отчетности во внебюджетные фонды.

1.6. Оформить на Демину Р.К. новую доверенность, одновременно отозвав прежнюю (от 1 января 2019 года №14-дVIP).

1.7. Уведомить сотрудников компании, контрагентов и прочих заинтересованных лиц о том, что на Демину Р.К. оформлена новая доверенность.

1.8. Оформить документы, необходимые для замены банковской карты, выданной Деминой Р.К. в рамках зарплатного проекта.

1.9. Оформить документы, необходимые для замены полиса добровольного медицинского страхования, выданного Деминой Р.К. в рамках корпоративной программы добровольного медицинского страхования.

1.10. Уведомить Демину Р.К. о необходимости подачи заявления о замене свидетельства обязательного пенсионного страхования.

1.11. Уведомить Демину о необходимости провести замену полиса обязательного медицинского страхования.

2. Ответственным за исполнение настоящего приказа назначить главного бухгалтера ООО «Первый» Береговскую Н.И.

Генеральный директор Е.Д. Мурашов

И уже на основании этого приказа вносятся изменения в кадровые документы. Напомним, что изменения в личную карточку, трудовую книжку и прочие кадровые документы на бумажных носителях вносятся следующим образом: одной чертой зачеркивается устаревшая информация, и сверху либо рядом (в зависимости от формы) пишется новая фамилия сотрудника и причина изменения.

А к трудовому договору подписывается следующее дополнительное соглашение:

ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ

Город Краснодар

Общество с ограниченной ответственностью «Первый», в лице Генерального директора Е.Д. Мурашова, действующего на основании Устава, именуемое в дальнейшем Работодатель, с одной стороны, и Демина Раиса Константиновна, именуемая в дальнейшем Работник, с другой стороны, совместно именуемые в дальнейшем Стороны,

заключили настоящее Дополнительное соглашение к действующему между Сторонами трудовому договору (от 12 июля 2018 года № 24-тд, далее — Договор):

1. В связи с изменением персональных данных Работника, по тексту Договора фамилию «Рыкова» заменить на «Демина» в соответствующих падежах.

2. В связи с изменением персональных данных Работника, преамбулу Договора изложить в следующей редакции:

«ООО «Первый», в лице Генерального директора Е.Д. Мурашова, действующего на основании Устава, именуемое в дальнейшем Работодатель, с одной стороны, и Демина Раиса Константиновна, паспорт серии 4504 номер 765432, выдан 12 декабря 2011 года паспортным столом № 3 ФМС по г. Краснодару, проживающая по адресу: г. Краснодар, ул. Дзержинского, д. 10, корп. 2, кв. 15, именуемая в дальнейшем Работник, с другой стороны, совместно именуемые в дальнейшем Стороны, заключили настоящий трудовой договор о нижеследующем:».

3. Подписи Сторон:

Работник Демина

Работодатель Мурашов

Ситуация вторая: замена паспорта

Следующей ситуацией, которую мы рассмотрим в рамках сегодняшней темы, является получение сотрудником нового паспорта. Такое возможно как в экстренном порядке — при утере, повреждении и т п., так и в плановом — паспорта положено обменивать в 20 и 45 лет (п. 7 Положения о паспорте, утв. постановлением Правительства РФ от 08.07.97 № 828). В принципе, алгоритм действий в этом случае схож с тем, что мы описали выше, в случае со сменой фамилии. Однако документов, в которые надо будет вносить изменения, здесь меньше. Это трудовой договор, лицевой счет, личная карточка, доверенность и банковские документы. Да и сопутствующие бумаги оформляются все же несколько иначе.

Первым делом, получаем у сотрудника заявление примерно такого содержания:

Генеральному директору ООО «Первый»

Мурашову Е.Д.

от специалиста отдела по работе с VIP-клиентами
Деминой Р.К.

ЗАЯВЛЕНИЕ

В связи с получением нового паспорта, прошу внести необходимые изменения в кадровую и иную документацию, содержащую мои паспортные данные.

Приложения:

1. Копия паспорта (все страницы).

Демина Р.К.

На основании этого заявления руководитель издает приказ. В нем перечисляются те действия, которые необходимо совершить для отражения изменений в кадровой и прочей документации.

ООО «Первый»

ПРИКАЗ

В связи с поступившим от Деминой Р.К. заявлением, в котором она уведомляет администрацию ООО «Первый» об изменении персональных данных,

Приказываю :

1.1. Подготовить дополнительное соглашение к трудовому договору с Деминой Р.К., учитывающее изменение ее паспортных данных.

1.2. Внести в личную карточку Деминой Р.К. информацию о смене паспортных данных.

Федеральным законом от 07.02.2016 № 13-ФЗ (далее – Закон № 13-ФЗ) ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений . С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ), повысится в разы.

Максимальный размер штрафа для юридических лиц составит 75 тыс. руб. (сейчас – 10 тыс. руб.). Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями

Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов.

	Состав административного правонарушения	Размер штрафа,
	Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния	Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50.
	Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных*	Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75
	Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50

* Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров.

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

К сведению:

Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

Персональные данные.

Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• семейное, социальное и имущественное положение;
• образование, профессия;
• доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе № 152-ФЗ упоминаются:

• специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;
• биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.

К сведению:

Персональные данные работников, как правило, содержатся в следующих документах:

• в паспорте или ином документе, удостоверяющем личность;
• в трудовой книжке;
• в документах о воинском учете, образовании, составе семьи;
• в справке о доходах с предыдущего места работы;
• в анкете, заполняемой при трудоустройстве;
• в личной карточке работника (форма Т-2);
• в свидетельствах о заключении брака, рождении ребенка;
• в медицинских справках; и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных.

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ).

Цели обработки персональных данных определены ч. 1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ.

* Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ).

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

Оператор.

Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в соответствии с ч. 1 ст. 18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом. Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

Требования к оформлению положения о персональных данных.

При составлении Положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом № 152-ФЗ и гл. 14 ТК РФ . Исходя из названных нормативных актов, в положении о Персональных данных надо указать:

• перечень сведений, относимых к категории персональных данных;
• какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т. д.);
• перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;
• кто и в каком порядке имеет доступ к полученным персональным данным;
• меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);
• порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;
• процедуру уточнения персональных данных работников, их блокировку и уничтожение;
• условия и порядок хранения персональных данных сотрудников.

Важный нюанс: работодателю следует учесть требование ч. 8 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления. Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре.

Итак, положение о персональных данных – это, пожалуй, главный документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона.

Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

• без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;
• либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии?

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

1. Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
2. При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
3. Наименование или Ф. И. О. и адрес работодателя.
4. Цель обработки персональных данных.
5. Перечень персональных данных, которые подлежат обработке.
6. Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
9. Подпись работника.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено. Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора . По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

Не нужно оформлять согласие работника на обработку персональных данных, если они получены	Источник
Из документов (сведений), предъявляемых при заключении трудового договора	Статья 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона № 152-ФЗ
По результатам обязательного предварительного медицинского осмотра о состоянии здоровья	Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора
Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат)	Пункт 2 Разъяснений Роскомнадзора
От кадрового агентства, действующего от имени соискателя на вакантную должность	Пункт 5 Разъяснений Роскомнадзора
Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц	Пункт 10 ч. 1 ст. 6 Закона № 152-ФЗ, п. 5 Разъяснений Роскомнадзора

Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений.

Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные – номер сотового телефона, адрес электронной почты).

О согласии на передачу данных.

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель.

Обратите внимание:

Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице.

Согласие не оформляется при передаче данных*	Источник
Третьим лицам в целях предупреждения угрозы жизни и здоровью работника	Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора
Во внебюджетные фонды	Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора
В налоговые органы и военные комиссариаты	Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем	Статья 370 ТК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По мотивированному запросу органов прокуратуры и правоохранительных органов	Абзац 7 п. 4 Разъяснений Роскомнадзора
По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности	Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом	Абзац 5 ст. 228 ТК РФ

* Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия.

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Текст нормативного акта напечатан в «Актах и комментариях для бухгалтера», № 3, 2017.

«О персональных данных».

См. Постановление ФАС СКО от 11.03.2014 по делу № А53-10287/2013.

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ.

«Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве». Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012.

Актуальные вопросы бухгалтерского учета и налогообложения, №3, 2017 год

На предприятиях в любой момент может возникнуть необходимость изменить какие-либо персональные данные работника. О том, как правильно оформить данный процесс и пойдет речь в представленной ниже статье.

Из данной статьи вы узнаете:

• как происходит оформление документов при изменении персональных данных работника;
• влияет ли изменение персональных данных на специфику работы сотрудника;
• как поступить с документами, где остались устаревшие персональные данные сотрудника.

Порядок изменения персональных данных работника

В ряде случаев (свадьба, смерть супруга, развод, смена места жительства и так далее) может возникнуть необходимость изменить персональные данные работника. Каждая такая ситуация должна документально сопровождаться, как со стороны сотрудника, так и со стороны непосредственного начальника предприятия.

Наиболее часто кадровые специалисты сталкиваются с необходимостью внести изменения персональных данных, касающихся фамилии или нового места жительства коллеги. В этом нет ничего удивительного, ведь свадьбы являются всеми ожидаемым событием, а переехать в новый дом нас могут вынудить и прочие обстоятельства.

Для того чтобы запустить процесс изменения персональных данных, необходимо запросить у сотрудника необходимые документы, подтверждающие то или иное событие. В случае с браком доказательством может служить свидетельство и новый паспорт, а во время переезда – смена прописки или акт купли-продажи имущества.

Для более грамотного оформления изменений так же рекомендуется попросить работника составить соответствующее заявление, где он лично укажет, какие данные необходимо изменить. Заявление составляется в произвольной форме и должно содержать устаревшую и обновлению информацию (старая и новая фамилии, прежнее и новое место жительства), повод изменения данных и сроки вступления обновленной информации в силу.

После получения заявления работодателем издается специальный приказ, где он подтверждает факт смены персональных данных и указывает, в каких именно документах необходимо произвести изменения. Обычно, изменения касаются трудовых или коллективных договоров, штатного расписания, графика отпусков, карточек по страховым взносам, личных дел работников и так далее. Так как в договорах вносить изменения положено в особом порядке, кадровой службой готовится дополнение, которое утверждается руководителем организации и подписывается работником.

Оформление документов при изменении персональных данных работника

Все документы, которые нуждаются в изменении персональных данных работника, составляются в соответствии с действующим Законодательством. Они должны содержать старую и новую информацию, обязательно имеют подпись непосредственного руководителя организации, ответственного за их ведение работника (бухгалтера, кадрового специалиста, юриста) и визу сотрудника, у которого меняются персональные данные.

Бланки документов должны содержать подробную информацию о самой компании и сферу ее деятельности. В зависимости от специфики документации, определенные ее виды необходимо регистрировать в специальных журналах и хранить в определенных условиях.

Влияет ли изменение персональных данных на специфику работы сотрудника?

Конечно, смена, к примеру, фамилии никак не должна повлиять на специфику работы трудоустроенного гражданина. Но изменение места жительства может стать поводом попросить надбавки к заработной плате из-за того, что теперь человеку приходится больше средств тратить на проезд к офису компании.

Подобная инициатива не входит в прямые обязанности руководителя предприятия, но он может проявить понимание, особенно если смена жительства была вызвана состоянием здоровья подчиненного. В прочих случаях, помимо необходимости вносить изменения в соответствующие документы, смена персональных данных работника никак не влияет на осуществление им персональных обязанностей.

Как поступить с документами, где остались устаревшие персональные данные сотрудника?

Все документы, которые ранее считались актуальными, но устарели из-за смены персональных данных человека, подлежат обязательному хранению в личном деле работника или в архиве в течение определенного срока. Данный срок зависит от специфики самого документа, но работодатель не имеет права избавляться от важных локальных документов, так как именно они подтверждают факт сотрудничества с человеком в течение определенного времени.

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.

Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Как работодатель обязан защищать персональные данные

В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.

Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).

Какая ответственность применяется к работодателям

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.

Дисциплинарная ответственность

К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):

• замечание;
• выговор;
• увольнение.

Материальная ответственность

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.

Читайте также Пример соглашения по охране труда

При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.

Административная ответственность

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

• для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рублей;
• для организации: от 5000 до 10 000 рублей.

Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

• сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

• штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

• штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Что изменится с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.

Нарушение 1: обработка персональных данных в «иных» целях

С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

• или предупреждение;
• или штрафы.

Нарушение 2: обработка персональных данных без согласия

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

• ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
• наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись работника.

С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

Нарушение 3: доступ к политике по обработке персональных данных

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.

Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».

С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:

Нарушение 4: сокрытие информации

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных данных;
4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10. иные сведения, предусмотренные Федеральным законом или другими федеральными законами.