|
 Руководители, бухгалтеры, кадровые специалисты постоянно работают с персональными данными (ПД): паспортные реквизиты, СНИЛС, ИНН, банковские реквизиты сотрудников, зарплатные сведения, дипломы и прочие ПД. Если будут допущены ошибки при обработке персональных данных, то граждане, юридические и должностные лица несут административную ответственность, что может привести к крупным штрафам в случае выявления нарушений со стороны государственной инспекции труда (ГИТ) и Роскомнадзора.
В данном обзоре раскроем тему уровня ответственности должностных лиц при работе с персональными данными с перечислением главных ошибок.
Самый высокий уровень ответственности у руководителей как должностных лиц.
Должностные лица — это сотрудники, которые выполняют организационно-распорядительные функции, включающие полномочия по руководству коллективом, формированию кадрового состава, определению трудовых функций работников, а также принятию юридически-значимых кадровых решений (например, аттестация персонала). Также должностные лица имеют полномочия по управлению имуществом и деньгами организации, например при принятии решений о зарплатах и премиях.
На практике, в дополнение к руководителям, штраф также могут наложить на бухгалтера или кадрового сотрудника, если в их должностных инструкциях прописаны обязанности по обработке ПД. В таком случае бухгалтер или кадровик не отделается дисциплинарной ответственностью.
Решение о том, кто является должностным лицом (кроме руководителя), может принять сотрудник государственной инспекции труда в ходе проверки организации. Проверяющий может сделать вывод, что бухгалтер или кадровик является должностным лицом на основе анализа должностных инструкций, условий трудового договора и приказа директора о наделении бухгалтера или кадровика соответствующими полномочиями для работы с персональными данными (ПД).
Первая ошибка: отсутствие согласия на обработку персональных данных
Если бухгалтер или кадровый работник получили доступ к персональным данным (ПД) кандидата или работника без его письменного разрешения (согласия), то это нарушение. Кадровикам и бухгалтерам обязательно нужно запрашивать подписанное согласие на обработку ПД от кандидатов и работников (включая внештатных сотрудников). В данном согласии должны быть прописаны все цели использования персональных данных их «владельца».
Если получение согласия на обработку персональных данных входит в должностные инструкции бухгалтера или кадрового работника, то отсутствие письменного согласия приведет к штрафу как для должностного лица. Данный штраф составляет от 100 тысяч до 300 тысяч рублей в соответствии с ч. 2 ст.13.11 КоАП).
Вторая ошибка: персональные данные хранятся или передаются через запрещенные ресурсы (сервисы)
На практике, большинство организаций продолжают обмениваться персональными данными через иностранные облачные сервисы Google Docs, Dropbox и т.п., а также через иностранные мессенджеры и соцсети. Это нарушение закона, так как указанные иностранные сервисы и мессенджеры для хранения данных используют серверы за пределами России.
Часть 5 ст.18 закона о персональных данных обязывает записывать, систематизировать, хранить и извлекать ПД граждан России, с применением баз данных, находящихся внутри страны.
Таким образом, если бухгалтер или кадровик нарушит данное требование, то штраф должностного лица может составить от 100 тысяч до 200 тысяч рублей (см. ч.8 ст.13.11 КоАП).
Третья ошибка: передача персональных данных третьим лицам без разрешения
Если бухгалтер или кадровик получает доступ к персональным данным (ПД), то он не имеет разглашать данные сведения третьим лицам без согласия субъекта(владельца) ПД, даже если коллега внутри компании попросит сведения, относящиеся к ПД другого сотрудника. Например, нельзя раскрывать размер зарплаты сотрудника, если он не давал согласия(разрешения) на это.
Штраф за подобное нарушение от 40 тысяч до 50 тысяч рублей (ст.13.14 КоАП). Более того, возможна дисквалификация на срок до трех лет, что означает невозможность работать на некоторых должностях.
Чтобы уменьшить риски утечки персональных данных, рекомендуется проанализировать уровень информационной безопасности в организации и предпринять необходимые шаги для наведения порядка в работе с ПД. Подробнее об информационной безопасности
Четвертая ошибка: хранение лишней информации в личных делах работников
Хотя закон не требует ведение личных дел работников в организациях коммерческого сектора (в отличие от госучреждений), многие компании ведут личные дела с хранением сведений (копий) таких документов, как паспорт, СНИЛС, ИНН, дипломы, медосмотры, военные билеты и т.п. Копии данных документов могут запрашиваться бухгалтером или кадровиком для внесения сведений в трудовые договоры и документы по персональным данных. После применения копии документов с персональными данными, полученные от работника, необходимо вернуть владельцу.
Трудовая инспекция или прочие надзорные органы оштрафуют организацию или должностное лицо, если посчитают, что сведения в личных делах являются избыточными. Это происходит, когда документы не относятся к служебной деятельности сотрудника, но хранятся в личном деле, что относится к обработке персональных данных, несовместимых с целями их сбора. В данном случае штраф для должностных лиц составит от 50 тысяч до 100 тысяч рублей (часть 1 ст. 13.11 КоАП).
Пятая ошибка: несообщение или несвоевременное сообщение об утечке персональных данных
Если были нарушены права субъекта (владельца) персональных данных (ПД), то об этом необходимо уведомить Роскомнадзор. На практике, к таким нарушениям может относиться неправомерная или случайная передача ПД, проще говоря, допущена утечка персональных данных.
Штраф должностного лица за несообщение Роскомнадзора о таком нарушении составляет от 400 тысяч до 800 тысяч рублей.
В дополнение к вышеуказанной информации об уровне ответственности должностных лиц в соответствии с Кодексом Российской Федерации об административных правонарушениях (КоАП РФ), при нарушениях в сфере персональных данных может возникать также ответственность гражданско-правового характера для оператора персональных данных (организаций), например:
- компенсация морального вреда;
- возмещение убытков;
- оплата неустойки;
- прочие виды обязанностей.
В перечисленных выше обязанностях вред будет возмещаться организацией (оператором ПД). Но это не означает, что работодатель не сможет привлечь ответственного работника (например, бухгалтера или кадровика) к материальной ответственности, чтобы компенсировать затраты на выплаты компенсаций пострадавшему субъекту (владельцу) персональных данных. Для этого необходимо будет доказать, что бухгалтер или кадровик допустил ошибки при работе с ПД.
Одним из ключевых шагов для минимизации рисков нарушений при работе с ПД, будет отказ от хранения персональных сведений кандидатов и работников в открытом виде (Word, Excel, PDF и т.п.). Храните файлы с персональными данными в специальных программах кадрового учета, с помощью которых Вы сформируете любой кадровый приказ и все документы по персональным данным в необходимом формате. Данные программные решения обеспечивают безопасное хранение всех сведений по сотрудникам.
Скачать программу кадрового учета с максимальным уровнем хранения персональных данных
| 
