какие виды ответственности установлены за разглашение конфиденциальных сведений
Проверка Роскомнадзора: как подготовиться работодателю
эксперт по трудовому законодательству, преподаватель по трудовому праву
Тема охраны персональных данных касается всех, кто работает с кадровыми документами. В этой статье разберем, какие требования установлены на законодательном уровне и что может стать объектом проверки Роскомнадзора
На какие документы опираться работодателю
Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты»В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.
Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.
В конце статьи есть шпаргалка
К владельцам персональных данных относятся:
Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как их хранить, на каких носителях, как их защищать и пр.
Что проверяет Роскомнадзор
Постановка на учет
Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.
Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес.
Как проверить, стоит ли организация на учете
Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.
Ответственный за организацию работы с персональными данными
В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора.
О том, как работать с персональными данными, читайте в интервью Марии Финатовой
Внутренняя политика по персональным данным
Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.
Локальные нормативные акты
Это те документы, которые содержат конкретные правила и условия работы:
Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.
Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.
Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:
Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.
Хранение и уничтожение персональных данных
Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:
В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.
Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.
Информационные системы
Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.
Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.
Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.
В конце статьи есть шпаргалка
Жалобы о нарушении прав субъектов персональных данных
Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:
Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.
О том, что нового появится в работе с персональными данными, расскажем на бесплатном вебинаре «Законодательные изменения по персональным данным работников. Чек-лист для кадровика».
Вместо заключения
Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.
Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
Перечень НПА для оператора персданных 630.2 КБ
Увольнение за разглашение коммерческой тайны
Что является коммерческой тайной? Можно ли уволить работника за нарушение коммерческой тайны? Какова практика судов в отношении увольнения за разглашение конфиденциальной информации?
1. Что является коммерческой тайной предприятия по закону?
Какие сведения могут быть отнесены к коммерческой тайне? Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» относит к информации, составляющей коммерческую тайну, сведения производственного, экономического, организационного и другого характера, связанные с профессиональной деятельностью. Главное, чтобы информация имела потенциальную коммерческую ценность по причине ее неизвестности другими лицами.
Например, это может быть информация о планируемых контрактах, о подготовке к различным тендерам, к торгам, аукционам, сведения о зарубежных партерах, спонсорах, а также конкурентах (Решение Октябрьского районного суда г. Уфы от 20.05.2020 г. № 2-219/2020). То есть данные сведения не содержатся в открытых источниках, справочниках, каталогах.
А сведения о заказчиках компании могут не являться коммерческой тайной, поскольку вся информация о них содержится в информационной базе, доступной всем зарегистрированным пользователям (Решение Ленинградского районного суда г. Калининграда от 18.05.2020 г. № 2-286/2020).
2. Практика судов — нарушение NDA
Проанализируем практику судов, связанную с увольнением за разглашение коммерческой тайны.
Разглашение коммерческой тайны является основанием для увольнения за разглашение коммерческой тайны. Ответственность за разглашение коммерческой тайны наступает у работника, если у него в трудовом договоре прописана обязанность не разглашать коммерческую тайну.
2.1. Можно ли уволить за разглашение коммерческой тайны?
У работодателя на руках должны быть документы, подтверждающие ущерб и обосновывающие, что он напрямую возник по причине разглашения работником коммерческой тайны. С нормативными документами работник должен быть ознакомлен под подпись.
Например, работница копировала файлы с грифом «Для служебного пользования» на внешний носитель. Эти файлы содержали сведения об инженерно-геологических испытаниях, о проектах по станциям метро и были доступны работникам, у которых есть допуск к коммерческой тайне. Такие сведения могут быть впоследствии использованы в конкурентной борьбе с другими институтами. Работница была уволена и судом было отказано в ее восстановлении (Решение Куйбышевского районного суда г. Санкт-Петербурга от 08.07.2020 № 2-309/2020).
2.2. Какие огрехи работодателя позволяют работнику избежать наказания?
Зачастую из-за собственных оплошностей работодатель не может наказать работника-нарушителя за разглашение коммерческой тайны.
Компания или предприниматель должны составить либо акт по факту нарушения работником Положения о коммерческой тайне, а с работника затребовать расписку о конфиденциальности и неразглашении тайны.
Но этого недостаточно. Работодатель должен представить доказательства, что последствием разглашения работников коммерческой тайны стал прямой действительный ущерб (п. 1 ст. 243 ТК РФ, письмо Минтруда РФ от 19.10.2017 № 14-2/В-942).
Небрежность в оформлении кадровой документации работодателя спасает работника от увольнения.
Например, локальные документы, касающиеся коммерческой и служебной тайны, не содержат дату их утверждения. Да и сам работник не был ознакомлен с этими документами. В подобных случаях уволенные работники восстанавливаются на своем рабочем месте (Решение Кировского районного суда г. Екатеринбурга от 17.07.2020 № 2-2484/2020).
Незаконность увольнения нетрудно оспорить работнику, если работодатель не надлежащим образом оформил кадровую документацию.
Например, в приказе о расторжении трудового договора нет никакой информации о том, как и при каких обстоятельствах была разглашена коммерческая тайна и в чем конкретно она заключалась (Решение Ленинградского районного суда г. Калининграда от 18.05.2020 № 2-286/2020).
Иногда работодатели увольняют работников за распространение сведений, которые никоим образом не относятся к коммерческой тайне.
Например, работница медицинского центра постоянно говорила пациентам, что их центр прекращает свою работу, а все врачи увольняются, не будет и транспорта для перевозки больных. Итогом такой агитации стал переход пациентов в другой медицинский центр. Работодатель не смог смириться с этим и подал в суд на работницу за разглашение персональных сведений и врачебной тайны.
Но суд отказал компании в компенсации материального ущерба, поскольку работодатель не предоставил никаких доказательств того, что работница действительно разглашала конфиденциальные сведения (Решение Люберецкого городского суда Московской области от 25.11.2020 № 2-7386/2020).
2.3. Лишение свободы работника за разглашение коммерческой тайны
За разглашение коммерческой тайны можно не только лишиться работы, но и сесть в тюрьму. И, как показывает судебная практика, подобные дела не становятся редкостью.
Не секрет, что разглашением коммерческой тайны грешат сотрудники операторов сотовой связи. Ведь в силу своей профессиональной деятельности они обладают информацией о персональных данных абонентов.
Например, работник ПАО «МТС» решил заработать на продаже сведений, которые составляют коммерческую тайну. Работник нашел в Интернете магазин, который заинтересован в покупке сведений об абонентах оператора сотовой связи ПАО «МТС». Деньги были зачислены на карту, открытую на другое имя.
Сотрудники полиции квалифицировали его действия по уголовной статье — разглашение коммерческой тайны (п. 3 ст. 183 УК РФ). За разглашение коммерческой тайны бывший работник получил реальный срок — полгода лишения свободы (Приговор Надымского городского суда Ямало-Ненецкого автономного округа от 23.07.2020 № 1-123/2020).
В аналогичном деле (только информацией, составляющей коммерческую тайну, торговал сотрудник ПАО «Мегафон») работник сначала незаконным путем получил доступ к информационной системе, которая содержала данные абонентов сотового оператора. А потом скопировал персональные данные клиентов, а также сведения о клиентских договорах на свой мобильный телефон.
Впоследствии, также как и его коллега из ПАО «МТС», передал за денежное вознаграждение скопированные сведения третьему лицу. Но, в отличие от коллеги, бывший работник отделался штрафом в 50 тысяч рублей. Суд учел положительные характеристики работника, его семейное положение (Постановление Ленинского районного суда г. Кирова от 21.02.2020 № 1-168/2020).
Вырастут административные штрафы за разглашение данных ограниченного доступа
Государственная Дума приняла в третьем чтении закон об увеличении административных штрафов за разглашение информации ограниченного доступа.
Документом увеличиваются административные штрафы за разглашение такой информации до 5–10 тыс. рублей для граждан (сейчас от 500 до 1 тыс. рублей) и до 40–50 тыс. рублей для должностных лиц (сейчас от 4 до 5 тыс. рублей). Кроме того, поправками вводится ответственность для юридических лиц — штраф от 100 тыс. до 200 тыс. рублей.
Также изменится действующая статья КоАП РФ, предусматривающая штрафы за разглашение сведений о мерах безопасности, примененных в отношении сотрудников правоохранительного или контролирующего органа либо их близких. Штрафы в настоящее время составляют от 300 до 500 рублей для граждан и от 500 до 1 тыс. рублей для должностных лиц. Предлагается установить, что нарушение предусмотренных сейчас законом о государственной защите требований по обеспечению конфиденциальности сведений о защищаемых лицах и их имуществе, если речь не идет об уголовном деянии, повлечет штраф для граждан от 50 тыс. до 70 тыс. рублей, для должностных лиц — от 100 тыс. до 300 тыс. рублей, для юридических лиц — от 300 тыс. до 500 тыс. рублей. Для должностных лиц предусмотрена также дисквалификация на срок до трех лет.
Кроме того, незаконные сбор, передача, распространение и доступ к персональным данным судей, прокуроров, следователей, сотрудников органов внутренних дел и ряда силовых ведомств в связи с исполнением ими профессионального или общественного долга, данных об их близких повлекут штраф для граждан от 20 тыс. до 40 тыс. рублей. Для должностных лиц штраф составит от 50 тыс. до 100 тыс. рублей с возможной дисквалификацией на срок до трех лет, для индивидуальных предпринимателей — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 200 тыс. до 300 тыс. рублей.