Распространение персональных данных: что это, действия работодателя

Распространение персональных данных – это один из способов передачи персданных третьим лицам. Для такого действия от сотрудника надо получить письменное согласие. В нем работник может указать ограничения, которые придется соблюдать. В статье разберем что такое распространение персональных данных и что надо делать работодателю.

Как работать с персональными данными сотрудников

Что такое персональные данные

Персональные данные — это информация, которая прямо или косвенно относится к определённому или определяемому физическому лицу (субъекту), которые могут быть предоставлены другим лицам.

Персональные данные называют ещё личностными. Однако в документах скорее всего будет первый вариант.

Теперь стоит поговорить о том, что такое распространение персональных данных.

Распространение персональных данных — это действия, направленные на передачу каких-либо сведений конкретному кругу лиц. Например, это может быть ознакомление с ФИО, паспортными данными, образованием и т.д. В категорию распространения также относится обнародование персональных данных в СМИ, размещение в информационно-телекоммуникационных сетях или самый банальный момент разбалтывания.

Образцы для работы с персональными данными

Далее стоит обозначить виды персональных данных (далее ПД). Сюда можно отнести:

Общедоступные — в законе о персональных данных нет определения общедоступных персональных данных, однако к общедоступными исходя из толкования закона относят сведения, содержащиеся в реестре операторов.
Общие — это самая многочисленная категория, в которую включается вся личная информация. Основные моменты:

• ФИО;
• Паспортные данные;
• ИНН;
• Семейное положение;
• Образование;
• Адрес;
• Номера телефонов;

Обезличенные — это данные, которые хранят в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.

Специальные:

• Судимость;
• Расовая или национальная принадлежность;
• Вероисповедание;
• Политические убеждения;
• Религиозные или философские взгляды;
• Интимная жизнь;
• Состояние здоровья;

Подсказка от Системы Главбух: обязан ли сотрудник сообщать об изменении своих персональных данных >>

В законе о персданных раскрывается исчерпывающий перечень специальных ПД. Для этой информации устанавливают особые правила сбора, хранения и обработки личностных данных.

Биометрические:

• Рост;
• Группа крови;
• Вес;
• Отпечатки пальцев;
• Результаты некоторых анализов;
• Фото/видеоинформация;

Важно! Такая информация становится биометрическими ПД только в случае определения личности человека.

Интересный факт: Адрес электронной почты, ID пользователя, IP адрес, файлы cookies, данные Яндекс метрики (ЯМ), Google аналитики (ГА) уже признаны персональными данными.

Основные виды личностных данных мы рассмотрели, теперь разберем вопрос о распространении и защите данных.  

Что такое распространение персональных данных

Распространение – это частный случай передачи персональных данных. Передача персональных данных может осуществляться в виде распространения, предоставления или доступа к данным (п. 3 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Под распространением персональных данных понимают передачу неограниченному кругу лиц (п. 5 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Например, если размещаете информацию о сотрудниках на сайте организации в интернете, вы распространяете их персональные данные.

О том, кому нужно предоставить персональные данные, рассказали эксперты журнала "Главбух".

Предоставление персональных данных – это адресная передача конкретному лицу или нескольким определенным лицам (п. 6 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Доступ – это передача персональных данных внутри организации на основании локального акта (ст. 88 ТК).

В Системе Главбух вы найдете ответ на вопрос: в каких документах содержатся персональные данные >>

Что делать работодателю при распространении персональных данных

Самое важное, что должен знать работодатель – когда нужно передать данные сотрудника третьим лицам или разместить их в интернете, необходимо получить от него согласие на передачу. Получайте такое согласие каждый раз, когда нужно передать персданные работника (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если собираетесь передавать персональные данные сотрудника неограниченному кругу лиц, возьмите у него письменное согласие на распространение персональных данных, согласие на обработку в этом случае не подойдет (ст. 88 ТК, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ, приказ Роскомнадзора от 24.02.2021 № 18).

Согласие на распространение персональных данных нужно оформлять по новым правилам. Конкретной формы Роскомнадзор не утвердил, но ввел обязательные требования к содержанию согласия (приказ Роскомнадзора от 24.02.2021 № 18). За основу можно взять образец от экспертов Системы Главбух. 

Отметим еще важный момент - утверждение о том, что распространение персональных данных – это только их передача неопределенному кругу лиц, а передача персональных данных имеет адресный характер, неверно (п. 5 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Во-первых, в самом согласии на распространение персональных данных сотрудник может установить условия и ограничения передачи своих данных другим лицам. То есть он вправе указать, кому он дает свое согласие на передачу персданных, а кому запрещает к ним доступ.

Во-вторых, в согласии на распространение персданных сотрудник вправе запретить работодателю передачу персональных данных неограниченному кругу лиц. Таким образом, передача и распространение персональных данных с точки зрения закона – синонимы. Поэтому как передача, так и распространение персональных данных сотрудника требуют отдельного согласия сотрудника (ч. 9 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Что такое защита распространяемых персональных данных

Защита персональных данных — это совокупность процессов технического, организационного и организационно-технического характера. Если говорить простым языком, то это мероприятия, которые обращены на защиту сведений, относящихся к определённому физическому лицу (субъекту).  

Защита персональных данных, моментов личной жизни, а так же различные истории граждан в России сводятся к трем ключевым направлениям:

• В рамках трудовых отношений;
• В рамках оказываемых услуг (связь, банки и т.д.);
• В Сети интернет, но с условием ВС РФ, который разрешил СМИ публиковать фамилии подсудимых и суть дела.

Теперь необходимо перейти к вопросу: «А что может быть работодателю за распространение персональных данных?» Это касается не только работодателя, но и любого лица, которое совершает этот акт.

Итак, основание для наложения каких-либо санкций в отношении операторов, передающих ПД третьим лицам, закреплено конфиденциальным статусом личной информации, что прописано в статье 7 Федеральный закон от 27.07.2006 № 152-ФЗ. Еще одним документом, предписывающим сохранять информацию в тайне является Трудовой кодекс, где присутствует отдельная статья про дисциплинарные проступки. Нормативно-правовая база РФ предусматривает три вида ответственности за распространение персональных данных:

• уголовную;
• административную;
• дисциплинарную.

Если саккумулировать всё вышесказанное, то при обвинении в рамках ТК максимум, что грозит человеку, — это увольнение, хотя часто руководство ограничивается замечанием или взысканием.

Однако более серьёзное наказание предусмотрено статьей 13 КоАП, которую недавно откорректировали, увеличив штрафы примерно в 10 раз. Теперь за обработку персональных данных без письменного согласия теперь будет грозить штраф до 700 тыс. руб. вместо 150 тыс. руб. За повторное нарушение организацию оштрафуют на сумму до 1,5 млн руб. вместо 500 тыс. руб. Примечательно, что за повторное нарушение полагается в 2-3 раза больший штраф, чем за первичное невыполнение нормативов закона № 152-ФЗ.

Значительные проблемы возникают у тех, чьи действия интерпретируют как нарушение положений Уголовного Кодекса.

Таблица. Какая ответственность за нарушения в работе с персданными

Статья 137 УК РФ: наказание за разглашение персональных данных

Уголовная ответственность наступает, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д.

Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя. Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.

Основные меры наказания прописаны в статьях 137 и 138 УК:

• За распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
• За аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф 100-300 тысяч рублей либо в размере полученного за прошлые 1-2 года официального дохода;
• За разглашение сведений, касающихся субъектов младше 16 лет, — 150-350 тысяч штрафа или иного дохода за период от 18 месяцев до трех лет, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
• За несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.

Что делать гражданину, который подвергся распространению персональных данных

Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы. Вот варианты, которые можно использовать:

• Обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПД, возместить материальный и моральный ущерб;
• Подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет меры;
• Обращение в правоохранительные структуры, что позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
• Обращение к юристам. Разобраться в том, по какой статье идентифицировать нарушение и правильно составить претензию на распространение личной информации без согласия владельца, помогут квалифицированные юристы. Есть ряд требований к содержанию, оформлению и подаче жалоб, исковых и других заявлений. Для наиболее эффективной защиты прав есть смысл пойти сразу несколькими путями, продумав обвинения таким образом, чтобы обращения в разные инстанции дополняли друг друга.

 

Срочные изменения по вашему ИНН

• ТОП-5 меток от ФНС, которые приводят к встречным проверкам
• Инструкция, как подготовиться к налоговой реформе-2025
• Список компаний с меткой «дробление бизнеса» от ФНС
• Проверьте по ИНН, дадут ли вашей компании новые льготы

Уже треть работодателей интересуют навыки бухгалтера в Excel

Пройдите тест, который оценит, умеете ли вы работать с программой так, как это нужно работодателю.

Перейти к короткому тесту