Разглашение персональных данных: новые правила, какие данные нельзя разглашать

Чтобы организовать обработку персональных данных, сначала разработайте документы, в которых пропишите порядок обработки. Затем уведомьте Роскомнадзор о начале обработки персданных и назначьте сотрудника, ответственного за работу с персданными в компании. После этого можно работать с персональными данными – получать, передавать, хранить и уничтожать. Как организовать обработку персональных данных сотрудников смотрите в Системе Главбух.

Какие персональные данные нельзя разглашать

Работа с персональными данными регулируется федеральным законом от 27.07.2006 152-ФЗ. Согласно этому закону персональные данные - это информация, относящаяся к определенному субъекту данных. К таким данным относятся:

• фамилия, имя, отчество,
• дата рождения,
• место жительства и регистрации,
• изображения (фото и видео),
• данные о здоровье,
• информация об образовании,
• размер заработной платы,
• сведения о квалификации и трудовом стаже и др.

Для обработки персональных данных необходимо письменное согласие субъекта, которое можно отозвать заявлением.

Разглашение персональных данных строго запрещено и контролируется Роскомнадзором. В случае нарушений предусмотрены дисциплинарная, административная, материальная и уголовная ответственности. Например, за утечку персданных сейчас максимальный штраф составляет до 300 тыс. руб. (ст. 13.11 КоАП). С 30 мая он будет зависеть от того, какой объем данных упустила компания. Про новые штрафы за персданные тут.

Заходите в урок “Как составить положение о защите персданных, и еще два обязательных документа к нему” в Высшей школе Главбух. Вы попрактикуетесь составлять документ, включите в него обязательные условия. Так вы избежите штрафа за нарушение правил обработки персданных. Откройте урок прямо сейчас и тренируйтесь в любое удобное для вас время.

Открыть урок

Источники сбора персональных данных

Выбор источника данных зависит от требуемой информации. При заключении трудового договора работодателю понадобятся паспорт, ИНН, СНИЛС и трудовая книжка будущего сотрудника для отчетности в ИФНС и СФР, и согласие не требуется. Для информации не связанной с трудовыми функциями, согласие необходимо. Такие данные можно получить через анкету соискателя или личный листок по учету кадров. Если информация хранится в автоматизированной форме, оператору потребуется регистрация в Роскомнадзоре.

Кто имеет право запрашивать персональные данные гражданина

Предоставление персональных данных предполагает их раскрытие определенным лицам. По закону данные и информация об их обработке доступны субъекту данных и лицам, имеющим его согласие. Оператор обязан предоставить запрашиваемую информацию в течение 10 дней. Существуют ситуации, когда согласие не требуется:

• прокурорский надзор,
• расследование правонарушений,
• налоговые проверки,
• судебные дела,
• действия судебных приставов,
• нотариальные действия,
• банкротство,
• отчеты в СФР и ИФНС,
• угроза жизни или здоровью.

Правила разглашения персональных данных

Для передачи данных сотрудника третьим лицам или размещения их в интернете необходимо письменное согласие сотрудника (ст. 10.1 Федерального закона от 27.07.2006 152-ФЗ). Передача данных неограниченному кругу лиц требует отдельного письменного согласия на распространение данных (ст. 88 ТК, ст. 10.1 Федерального закона от 27.07.2006 152-ФЗ, приказ Роскомнадзора от 24.02.2021 18).

При каждом случае передачи данных третьим лицам необходимо оформление согласия по новым правилам, с указанием информационных ресурсов, категории данных, цели обработки и других сведений. Для удобства можно использовать конструктор согласий от экспертов Системы Главбух.

Перейти в конструктор

Ответственность за разглашение персональных данных

Работники, имеющие доступ к персональным данным, несут различную ответственность за их разглашение:

• дисциплинарная: замечание, выговор, увольнение. В рамках дисциплинарной ответственности виновного сотрудника можно уволить с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта "в" пункта 6 части 1 статьи 81 Трудового кодекса»;

• административная: Все размеры административных штрафов за нарушения в работе с персональными данными смотрите в таблице;

• материальная: при незаконном распространении данных работник может требовать возмещения морального вреда у работодателя;

• гражданско-правовая: компенсация морального вреда по статьям 151, 152 ГК РФ;

• уголовная: по статье 137 УК РФ, штраф до 200 000 рублей или в размере зарплаты за период до 18 месяцев, обязательные работы до 360 часов, исправительные работы до года, принудительные работы до двух лет, арест до 4 месяцев или лишение свободы до двух лет.

Работа с личными данными требует высокой ответственности. Соблюдайте правила и учитывайте контроль Трудовой инспекции.