Разглашение персональных данных – это когда компания или ИП передают личную информацию сотрудников третьим лицам. Делать это без согласия сотрудника запрещено, но, как всегда, есть исключения. В этой статье разберем, какие новые правила существуют по разглашению, какие данные нельзя передавать и какая ответственность грозит за нарушение.
Работа с персональными данными регулируется законом № 152-ФЗ (с последними изменениями от 6 февраля 2023 года). Персональные данные – это информация, которая прямо или косвенно относится к человеку. Вот что к ним относится:
- ФИО;
- дата рождения;
- место жительства и регистрации;
- фотографии и видеоизображения;
- информация о здоровье (если она не обезличена);
- сведения об образовании;
- зарплата (это указано в письме Роскомнадзора № 08КМ-3681 от 07.02.2014);
- данные о квалификации и стаже.
Чтобы обрабатывать эти данные, нужно получить письменное согласие человека. При этом согласие можно отозвать в любой момент – достаточно подать заявление.
Что будет за разглашение?
Передача персональных данных без разрешения строго запрещена. За этим следит Роскомнадзор, а нарушение карается по ТК РФ и КоАП. Возможные санкции включают дисциплинарную, административную, материальную и уголовную ответственность.
Например:
если обработка данных не соответствует цели их сбора, компанию могут оштрафовать на сумму от 60 000 до 100 000 рублей;
за повторное нарушение штраф вырастет до 300 000 рублей;
а несоблюдение требований по хранению данных на территории РФ может обойтись в штраф до 6 миллионов рублей (ст. 13.11 КоАП).
Так что лучше заранее разобраться со всеми правилами и не рисковать.
Где берут персональные данные?
Все зависит от того, какие именно данные нужны. Например, при трудоустройстве источником информации будут документы будущего сотрудника – паспорт, ИНН, СНИЛС и трудовая книжка. Эти данные необходимы для отчетов в налоговую и социальные фонды, поэтому согласие на их обработку не требуется.
Но если работодатель захочет получить данные, которые не связаны с выполнением рабочих обязанностей, тогда потребуется согласие. Таким источником информации может быть, например, анкета или кадровый листок.
Если информация хранится в электронном виде, не используется для разовых пропусков на территорию, и она не связана с трудовыми функциями, оператор данных должен зарегистрироваться в Роскомнадзоре.
Кто имеет право запрашивать персональные данные?
Предоставление персональных данных – это их передача конкретному лицу или группе лиц. По закону, доступ к этим данным и информации об их обработке имеют сам субъект данных и те, кто получил его согласие. Оператор обязан предоставить такую информацию в течение 10 дней по запросу.
Однако есть случаи, когда согласие не нужно:
- Прокурорские проверки.
- Расследования и запросы полиции.
- Налоговые проверки.
- Судебные дела.
- Исполнение судебных решений приставами.
- Нотариальные действия.
- Арбитражные управляющие в делах о банкротстве.
- Отчеты работодателей в налоговую и соцфонды.
- Если существует угроза жизни или здоровью человека.
Как правильно передавать персональные данные?
Когда нужно передать данные сотрудника третьим лицам или разместить их в Интернете, обязательно возьмите его согласие. Причем согласие нужно получать каждый раз, когда вы собираетесь передавать данные (ст. 10.1 закона № 152-ФЗ).
Если данные передаются неограниченному кругу лиц, например, публикуются на сайте компании, обязательно нужно получить письменное согласие. Обычное согласие на обработку данных здесь не подходит (ст. 88 ТК и ст. 10.1 закона № 152-ФЗ).
В согласии на распространение персональных данных, кроме обычных сведений, нужно указать:
- ресурсы, на которых будут размещены данные;
- какие категории данных можно передавать;
- запреты или ограничения, установленные сотрудником;
- цели обработки и другие детали.
Ответственность за разглашение персональных данных
По статье 90 Трудового кодекса за утечку персональных данных сотрудника предусмотрены следующие виды ответственности:
- материальная;
- дисциплинарная;
- административная;
- уголовная.
Материальная и административная ответственность
Согласно Федеральному закону от 12.12.2023 № 588-ФЗ, штрафы за нарушения в области обработки персональных данных стали выше. Размеры штрафов увеличились, и теперь организациям стоит серьезнее относиться к соблюдению закона.
