Vzorové předpisy o osobních údajích zaměstnanců.

Od 1. července 2017 se mění čl. 13.11 Kodex správních deliktů Ruské federace o správní odpovědnosti za porušení právních předpisů o osobních údajích fyzických osob. Vzhledem k tomu, že změny se týkají každého, kdo používá osobní údaje, budeme se těmito novinkami zabývat v našem článku.

Zpracování osobních údajů – 2017

Osobní údaje jsou jakékoli informace přímo či nepřímo související s konkrétní fyzickou osobou (jméno, adresa bydliště, datum narození, údaje z pasu, telefonní číslo, fotografie, e-mailová adresa atd.). Organizace, vládní agentura nebo jednotlivec, který shromažďuje a zpracovává osobní údaje, se nazývá provozovatel (zákon o osobních údajích ze dne 27. července 2006 č. 152-FZ). Patří mezi ně zaměstnavatelé, ale i všichni, kdo od občanů získávají osobní údaje – zdravotnická zařízení, vzdělávací instituce, internetové obchody atd.

Pro zaměstnavatele jsou takové údaje nezbytné v souvislosti s pracovněprávními vztahy. Mohou být přijímány pouze osobně od samotného zaměstnance a od třetích stran - s jeho písemným souhlasem. Fyzická osoba dává písemný souhlas se zpracováním osobních údajů. Formulář není schválen zákonem, můžete si jej vypracovat sami s ohledem na požadavky odstavce 4 čl. 9 zákona č. 152-FZ (ustanovení 3, část 1, článek 86 zákoníku práce Ruské federace, ustanovení 1, článek 9 zákona 152-FZ).

Souhlas se zpracováním osobních údajů (vzor)

Je nepřípustné shromažďovat a zpracovávat osobní údaje zaměstnance, které nesouvisejí s jeho pracovní činností, například o účasti ve veřejných spolcích, náboženství, osobním životě atd. Totéž platí pro ostatní provozovatele, kteří požadují údaje, které nesouvisejí s účelem jejich zpracování (například uvedení pasových údajů v dotazníku o hodnocení výkonu webu). Získané údaje by neměly být poskytnuty třetím stranám nebo distribuovány bez souhlasu jednotlivce (článek 7 zákona č. 152-FZ).

Provozovatel je povinen poskytnout údajům přiměřenou ochranu, pro kterou stanoví postup pro jejich přijímání, zpracování a uchovávání v Předpisech o osobních údajích nebo jiných vnitřních předpisech. Dokument definuje potřebná opatření a také určuje osobu odpovědnou za zpracování. Přístup k těmto údajům by měl být umožněn pouze oprávněným osobám a ty mají právo dostávat pouze informace nezbytné k výkonu konkrétních funkcí (článek 88 zákoníku práce Ruské federace, článek 18.1 zákona č. 152-FZ).

Předpisy o osobních údajích nebo jiný dokument o zásadách jejich zpracování jsou veřejně přístupné a jsou předkládány na žádost oprávněných orgánů – to platí jak pro zaměstnavatele, tak pro jiné provozovatele (části 2 a 4 článku 18.1 zákona č. 152 -FZ).

Osobní údaje – 2017: novinka v administrativní odpovědnosti

Zákon č. 13-FZ ze dne 02.07.2017 přijal novou verzi článku 13.11 zákoníku o správních deliktech Ruské federace. Pokud dříve článek obsahoval jeden jediný prvek - porušení federálního zákona o osobních údajích, nyní je to celý seznam sedmi důvodů pro správní odpovědnost a podle toho různé pokuty. Je pravděpodobné, že pokud jeden provozovatel zjistí více přestupků, bude čelit více pokutám, nikoli pouze jedné.

Také články 28.3 a 28.4 zákoníku o správních deliktech Ruské federace prošly změnami, které zjednodušují proces přivedení provozovatelů před soud: od 07.01.2017 jsou vypracovány protokoly o porušení zákona 152-FZ o osobních údajích zaměstnanci Roskomnadzoru, a nikoli státního zástupce jako dříve. Lhůta pro postavení před soud zůstala stejná – 3 měsíce.

Za co jsou teď pokutováni?

Zde jsou důvody, na základě kterých mohou nyní podnikatelé a organizace zpracovávající osobní údaje nést administrativní odpovědnost:

• Údaje jsou zpracovávány v případech, které nestanoví federální zákon o osobních údajích nebo je jejich zpracování neslučitelné s účely shromažďování (část 1 článku 13.11 zákoníku o správních deliktech Ruské federace). Nezákonné použití osobních údajů, pokud nenese trestní odpovědnost, podléhá varování nebo pokutě: pro jednotlivce ve výši 1 000–3 000 rublů, pro úředníky - 5 000–10 000 rublů, pro organizace - 30 000–50 000 rublů.
• Zpracování údajů bez písemného souhlasu vyžadovaného zákonem (článek 2 článku 13.11 zákoníku o správních deliktech Ruské federace). Souhlas se zpracováním musí obsahovat informace uvedené v části 4 čl. 9 zákona 152-FZ o osobních údajích. Změny z roku 2017 stanoví pokutu za její nepřítomnost od 1. července v následující výši: pro porušovatele jednotlivců - 3 000–5 000 rublů, pro úředníky - 10 000–20 000 rublů, pro organizace - 15 000–75 000 rublů.
• Nedostatek neomezeného přístupu k zásadám provozovatele v oblasti zpracování osobních údajů (článek 3 článku 13.11 zákoníku o správních deliktech Ruské federace). Povinnost poskytnout přístup je stanovena v článku 2 čl. 18.1 zákona 152-FZ o osobních údajích. Neschopnost seznámit se s takovým dokumentem na papíře nebo na webu, pokud jsou data shromažďována přes internet, bude stát operátory: 700–1500 rublů. - jednotlivci, 3000-6000 rublů. - úředníci, 5 000-10 000 rublů. – Samostatný podnikatel, 15 000–30 000 rublů. – organizace a v nejlepším případě vše proběhne s varováním.
• Neposkytnutí informací o zpracování jejích osobních údajů osobě (článek 4 článku 13.11 zákoníku o správních deliktech Ruské federace). Postup pro vyžádání takových informací je předepsán v článku 14 zákona 152-FZ. Změny od 07.01.2017 jsou následující: porušení podléhá varování nebo pokutě 1000-2000 rublů. - jednotlivci, 4000-6000 rublů. - úředníci, 10 000-15 000 rublů. – Samostatný podnikatel, 20 000-40 000 rub. – organizace.
• Nesplnění požadavku na zablokování, změnu nebo zničení osobních údajů ve stanovené lhůtě (článek 5 čl. 13.11 zákoníku o správních deliktech Ruské federace). Fyzická osoba nebo její zástupce může takové požadavky vznést, pokud jsou údaje neúplné, nepřesné, získané v rozporu se zákonem nebo jsou zastaralé, to stanoví § 21 zákona o osobních údajích č. 152-FZ. Porušovatelé obdrží varování nebo pokutu: 1000-2000 rublů. pro jednotlivce, 4 000-10 000 rublů. úředníci, 10 000-20 000 rublů. – Samostatný podnikatel, 25 000–45 000 rublů. organizací.
• Nedodržení podmínek zajišťujících bezpečnost osobních údajů při neautomatizovaném zpracování (článek 6, článek 13.11 zákoníku o správních deliktech Ruské federace). To se týká „papírových“ dat, k nimž neoprávněný přístup způsobil jejich zničení, poškození, nelegální šíření atd. Nezajištění ochrany osobních údajů v roce 2017 znamená pokutu 700-2000 rublů. pro občany, 4 000-10 000 rublů. pro úředníky 10 000-20 000 rublů. pro jednotlivé podnikatele a 25 000–50 000 rublů. pro organizace.

Toto jsou změny v ochraně osobních údajů v roce 2017 účinné od 1. července. Jak vidíme, přestupky se upřesnily a pokuty pro provozovatele se znatelně zpřísnily.

Jednoduše řečeno, osobní údaje jsou informace o osobě. Zákon č. 152-FZ ze dne 26. července 2006 dává delší formulaci, kdy se osoba nazývá subjekt, který je určen podle jasných kritérií právních norem. Problematiku upravuje také kapitola 14 zákoníku práce Ruské federace a Ústava Ruské federace.

Za prvé, téma je důležité pro zaměstnavatele, protože pracovněprávní vztahy přímo souvisí se zpracováním personálních informací. Proto každý podnik schvaluje Nařízení o práci s osobními údaji zaměstnanců. Tato data zahrnují:

• místo bydliště (registrace);
• telefonní číslo;
• informace o dokladu totožnosti;
• příjem (plat, daně);
• přítomnost dětí;
• Rodinný stav;
• vzdělání;
• zdravotní stav;
• počet odpracovaných let (zkušenosti).

Schválením Nařízení o zpracování a ochraně osobních údajů můžete seznam doplnit či zpřesnit.

Nařízení o ochraně osobních údajů 2019

Pokud se odvoláme na čl. 87 zákoníku práce Ruské federace a čl. 81.1 federálního zákona 152, neexistuje žádný přímý údaj o postupu zpracování práce s údaji zaměstnanců. Pravidla jednoduše naznačují potřebu regulovat takové operace. Nejběžnějším způsobem v praxi je zveřejnění odpovídajícího interního dokumentu. Vzor Nařízení o ochraně osobních údajů - 2019 si můžete stáhnout po přečtení článku.

Místní zákon schvaluje podnik a musí na něj být upozorněni zaměstnanci. Kromě seznámení se samotným místním aktem zaměstnanci podepisují souhlas se zpracováním. Zpracování je shromažďování, systematizace, shromažďování, ukládání, přenos, ničení informací. Většinu operací provádí specialista z HR oddělení.

Účelem místního zákona je ochrana osobních a rodinných tajemství a zajištění soukromí. Na základě těchto zásad je nutné do místního dokumentu promítnout:

• typy PD;
• akce, které jsou s těmito daty prováděny;
• kdo a jak má přístup k chráněným informacím;
• odpovědnosti osob provádějících zpracování;
• odpovědnost za zveřejnění.

Vzor nařízení o osobních údajích zaměstnanců - 2019

Přístup k informacím

Přístup k informacím má samozřejmě provozovatel (ten, kdo zpracování provádí). Samotný subjekt má právo obrátit se na provozovatele s žádostí o informace, a to i s žádostí o jejich upřesnění, změnu nebo doplnění. Informace poskytuje provozovatel v přístupné podobě a neměly by obsahovat informace o jiných osobách.

Článek 14 federálního zákona č. 152 obsahuje výjimku, kdy může být přístup subjektu PD k jeho údajům omezen. Hovoříme o případech legalizace trestně získaných prostředků, kdy byla data získána při operativních operacích, a dalších případech.

Odpovědnost

Pokud byly informace omezené v šíření sděleny jiným osobám, budou viní občané poneseni odpovědnost ve formě pokuty ve výši 500 nebo 1000 rublů. Úředníci zaplatí od 4 000 do 5 000 rublů za únik dat, podle čl. 13.14 Kodex správních deliktů Ruské federace.

Abyste zabránili zaměstnancům vaší společnosti v páchání takových porušení, vydejte místní zákon a sledujte jeho dodržování. Pokud potřebujete vzor Nařízení o zpracování osobních údajů zaměstnanců, můžete si ho stáhnout v našem článku.

Kromě toho můžete být propuštěni za zveřejnění osobních údajů, protože tyto informace jsou klasifikovány jako chráněné zákonem. Základem (článkem) pro ukončení pracovněprávních vztahů je pododstavec „c“, odstavec 6, část 1, článek 81 zákoníku práce Ruské federace.

Prvním bodem v něm je souhlas subjektu (v tomto případě zaměstnance) s přijímáním, uchováváním a používáním informací tohoto druhu zaměstnavatelem. Žádné biometrické údaje – fotografie a videa, otisky prstů, skeny duhovky, vzorky DNA – nejsou bez písemného souhlasu zpracovávány. Stáhnout prázdný formulářStáhnout v .doc Stáhnout vyplněný vzorekStáhnout v .doc Důležité: bez souhlasu zaměstnance lze legálně přijímat a zpracovávat pouze informace nezbytné pro uzavření pracovní smlouvy! Přečtěte si o tématu v elektronickém časopise Ochrana osobních údajů: dokumentace Nejen souhlas se zpracováním osobních údajů se poskytuje písemně.

První

Pozornost

Stáhnout prázdný formulářStáhnout v.doc Stáhnout vyplněný vzorStáhnout v.doc Povinnosti o mlčenlivosti o osobních údajích zaměstnanců - 2017 Závazek o mlčenlivosti o osobních údajích zaměstnance v roce 2017 podepisuje každý, kdo je jedním způsobem resp. další zapojený do jejich zpracování. Základním principem přístupu je cílené využívání informací. Účetní využívá informace o zaměstnanci pro výpočet mezd a srážku daně z příjmu fyzických osob, personalista informace o osobní složce a aktuální personální dokumentaci a tak dále.

Během práce musíte přísně dodržovat požadavky stanovené zaměstnavatelem - nenechávejte dokumenty bez dozoru, nepředávejte je třetím stranám, nesdělujte přístupová hesla k elektronickým formulářům obsahujícím důvěrné informace a ve všem se řiďte „Předpisy“.

Předpisy o uchovávání a používání osobních údajů zaměstnanců

Info

Všichni ostatní zaměstnanci mají právo na úplné informace pouze o svých osobních údajích a zpracování těchto údajů. 4.1.2. Získávání informací o osobních údajích zaměstnanců třetí stranou je povoleno pouze v případě, že existuje prohlášení označující konkrétní osobní údaje a účely, pro které budou použity, jakož i písemný souhlas zaměstnance, jehož osobní údaje jsou požadovány. 4.1.3. Získávání osobních údajů zaměstnance třetí osobou bez jeho písemného souhlasu je možné v případech, kdy je to nezbytné k zamezení ohrožení života a zdraví zaměstnance, jakož i v případech stanovených zákonem.

4.2. Externí přístup (ostatní organizace a občané).

Jak vydat příkaz ke schválení platového řádu?

Specialisté, kteří přijali odpovědnost za dodržování pravidel pro práci s osobními údaji, mohou podléhat disciplinární nebo finanční odpovědnosti. Tyto podmínky musí být uvedeny v pracovní smlouvě a zaměstnanec musí být seznámen s interními dokumenty upravujícími ochranu důvěrných informací. Finanční odpovědnost vzniká, když je možné vypočítat ztráty způsobené v důsledku protiprávního jednání (např. když je podniku udělena pokuta nebo náhrada škody).
Podívejte se na video na téma: Kontrolní orgány lákají zaměstnavatele a odpovědné osoby na přestupky při shromažďování, uchovávání a využívání osobních údajů podle zákona o správních deliktech. Od 1. července 2017 se tento typ odpovědnosti zpřísňuje – zvyšuje se počet pokut, zjednodušuje se i samotný proces.

Vzorová povinnost nezveřejňování osobních údajů zaměstnanců

Důležité

Osoby sestavující a zpracovávající tyto informace musí být upozorněny, že pracují s osobními údaji a jsou odpovědné za nezveřejňování informací. Přečtěte si užitečné články na téma: Předpisy o osobních údajích zaměstnanců 2017 čl. 87 zákoníku práce Ruské federace vyžaduje, aby zaměstnavatel reguloval práci s osobními údaji zaměstnanců, ale neurčuje, jak to udělat. V praxi je povinnost splněna vytvořením Prohlášení o osobních údajích nebo jiného místního dokumentu.

Zaměstnanci společnosti musí být s interním aktem seznámeni proti podpisu a také získat povolení ke zpracování informací. V roce 2017 se zpřísňuje odpovědnost zaměstnavatele a oprávněných osob za zpřístupnění důvěrných materiálů, proto je třeba věnovat zvýšenou pozornost obsahu Předpisů o osobních údajích zaměstnanců a jejich ochraně.

Objednávka o schválení nařízení o osobních údajích

Povinnost mlčenlivosti o osobních údajích: vzor 2017 Pokud jde o sepsání povinnosti mlčenlivosti o zaměstnancích, vzor vám pomůže udělat vše správně a nic neztratit ze zřetele. I přes absenci jednotné podoby dokumentu existuje řada podmínek a detailů, kterým se nelze vyhnout, mezi které patří: údaje o zaměstnavateli (název, adresa organizace); informace o zaměstnanci (pozice, údaje o pasu); bod potvrzující skutečnost, že jste se seznámili s „Předpisy o ochraně osobních údajů“ a dalšími místními dokumenty relevantními pro daný případ; povinnost nezveřejňovat nebo šířit (včetně za účelem dosažení zisku) důvěrné údaje; doložka o tom, že zaměstnanec je upozorněn na odpovědnost za zveřejnění omezených informací.

Připravujeme nařízení o osobních údajích zaměstnanců - vzor 2017

Sdělování informací o osobních údajích zaměstnanců a osobních údajů obsažených ve správních věcech jiným organizacím a občanům je povoleno na základě písemného souhlasu občana a žádosti podepsané vedoucím organizace nebo občanem, který o tyto informace požádal. 4.2.1. Poskytování informací o osobních údajích občana bez jeho příslušného souhlasu je možné v těchto případech: a) za účelem předcházení ohrožení života a zdraví; b) po obdržení oficiálních žádostí v souladu s ustanoveními federálního zákona „O operativně-vyšetřovacích činnostech“; c) po obdržení oficiálních žádostí od daňových úřadů, orgánů Penzijního fondu Ruska, federálních orgánů sociálního pojištění a soudních orgánů. 4.2.2.

Vyhláška o ochraně osobních údajů zaměstnanců - vzor

Zpracování osobních údajů zaměstnance je prováděno výhradně za účelem: a) zajištění souladu se zákony a jinými regulačními právními akty; b) pomoc zaměstnancům při hledání zaměstnání; c) zajištění osobní bezpečnosti pracovníků; d) kontrola množství a kvality odvedené práce; e) zajištění bezpečnosti majetku zaměstnance a zaměstnavatele. Veškeré osobní údaje zaměstnance by měly být získávány od něj, kromě případů, kdy je možné je získat pouze od třetích stran. Získávání osobních údajů zaměstnance od třetích osob je možné pouze v případě, že je zaměstnanec předem upozorněn a s jeho písemným souhlasem.

Objednávka musí obsahovat následující body:

• Datum a místo sestavení;
• Úplný název podniku a jeho podrobnosti;
• Začíná frází: „Schválit (název aktu)“;
• Datum, od kterého nabývá účinnosti;
• Fráze o zrušení starého příkazu jako již neplatné. V návrhu uveďte jeho číslo a datum;
• Informace o osobě odpovědné za provedení příkazu můžete například zanechat sami: „Vyhrazuji si kontrolu nad provedením tohoto příkazu“ nebo přidělit odpovědnost jiné osobě frází: „Celé jméno je odpovědné za kontrolu provedení tohoto příkazu“ nebo „Celé jméno odpovídá za provedení příkazu.“

Příkaz ke schválení předpisů o odměňování - vzor 2017 Odpovídající vzor pomůže správně vypracovat příkaz ke schválení předpisů. Při sledování vyplněného vzorku si zaměstnavatel bude jistý jeho relevanci.

Od 1. července 2017 je výrazně zpřísněna odpovědnost za porušení při interakci s osobními údaji fyzických osob. Vyplývá to z ustanovení federálního zákona ze dne 2. 7. 2017 č. 13-FZ). Změny se dotknou všech zaměstnavatelů bez výjimky, kteří se podílejí na zpracování osobních údajů zaměstnanců a jednotlivých dodavatelů. Navíc lze říci, že novely se týkají téměř celé podnikatelské sféry, která komunikuje s osobními údaji fyzických osob (například majitelů webových stránek, které shromažďují osobní údaje návštěvníků). Jak se připravit na změny? Zvýší se pokuty? Kdo bude odhalovat porušení při zpracování osobních údajů? Pojďme na to přijít.

Osobní údaje: zvláštní informace

Osobními údaji zaměstnanců jsou veškeré informace nezbytné pro zaměstnavatele v souvislosti s pracovněprávními vztahy a týkající se konkrétního zaměstnance (článek 1, článek 3 federálního zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“).

U zaměstnavatele (organizace nebo fyzického podnikatele) jsou osobní údaje zaměstnanců nejčastěji shrnuty v jejich osobních kartách a osobních spisech. Téměř každý personalista nebo personalista přitom ví, že osobní údaje lze získat pouze osobně od zaměstnanců. Pokud lze osobní údaje získat pouze od třetích stran, pak ruské právní předpisy zavazují zaměstnance o tom informovat a získat od něj písemný souhlas (ustanovení 3 části 1 článku 86 zákoníku práce Ruské federace).

Zaměstnavatelé nemají právo přijímat a zpracovávat osobní údaje, které přímo nesouvisejí s pracovní činností osoby. To znamená, že je nemožné sbírat informace například o náboženství zaměstnanců. Koneckonců, takové informace představují osobní nebo rodinné tajemství a nemohou být v žádném případě spojeny s plněním pracovních povinností (článek 4 části 1 článku 86 zákoníku práce Ruské federace).

Po obdržení osobních údajů je zaměstnavatel na základě zákonných požadavků povinen je nešířit ani nesdělovat třetím stranám bez souhlasu zaměstnance (článek 7 spolkového zákona ze dne 27. července 2006 č. 152-FZ).

Osobním údajem lze chápat jakoukoli informaci přímo či nepřímo související s konkrétní fyzickou osobou (předmětem osobních údajů) – odst. 1 čl. 3 spolkového zákona ze dne 27. července 2006 č. 152-FZ. Příklady takových informací mohou být příjmení, jméno, patronymie, datum a místo narození, místo bydliště atd.

Jak je zaměstnavatel povinen chránit osobní údaje

Pro ochranu a omezení přístupu k osobním údajům musí zaměstnavatel zajistit kvalitní a moderní systém jejich ochrany. Jak přesně to udělat? Každý zaměstnavatel o této otázce rozhoduje samostatně. Postup při přijímání, zpracovávání, předávání a uchovávání osobních údajů musí být zároveň zakotven v místním aktu organizace, např. v Předpisech o zpracování osobních údajů zaměstnanců ( 8, 87 zákoníku práce Ruské federace, bod 2, část 1, článek 18.1 federálního zákona ze dne 27. července 2006 č. 152-FZ).

Zaměstnavatel musí také oficiálně jmenovat zaměstnance, který je odpovědný za práci s osobními údaji (část 5 článku 88 zákoníku práce Ruské federace). Může se jednat například o zaměstnance HR oddělení, který pracuje s osobními spisy, získává souhlas zaměstnance se zpracováním, vede zaměstnanecké karty atp.

Kontroly zaměstnavatele ohledně zpracování osobních údajů provádějí oddělení Roskomnadzor. Příkaz č. 312 Ministerstva telekomunikací a masových komunikací Ruska ze dne 14. listopadu 2011 schválil správní řád pro výkon funkcí pro výkon státní kontroly (dozoru) Roskomnadzorem.

Jaké povinnosti se vztahují na zaměstnavatele

Za porušení postupu pro přijímání, zpracování, uchovávání a ochranu osobních údajů zaměstnanců je stanovena disciplinární, hmotná, správní a trestní odpovědnost (článek 90 zákoníku práce Ruské federace, část 1, článek 24 federálního zákona č. 27. července 2006 č. 152-FZ). Podívejme se na každý z těchto typů odpovědnosti.

Disciplinární odpovědnost

Zaměstnanci, kteří jsou z pracovněprávních vztahů povinni dodržovat pravidla pro práci s osobními údaji, ale porušili je (článek 192 zákoníku práce Ruské federace), mohou nést odpovědnost za porušení při práci s osobními údaji. To znamená, že můžete pohnat k odpovědnosti například personalistu, který je příslušnou prací pověřen. Za disciplinární přestupek shromažďování, zpracování a uchovávání osobních údajů může zaměstnavatel potrestat svého zaměstnance tím, že mu uloží jednu z následujících sankcí (článek 192 zákoníku práce Ruské federace část 1):

• komentář;
• pokárání;
• propuštění.

Hmotná odpovědnost

Finanční odpovědnost zaměstnance může vzniknout, pokud v souvislosti s porušením pravidel pro práci s osobními údaji organizace dojde k přímé skutečné škodě (článek 238 zákoníku práce Ruské federace). Předpokládejme, že odpovědný pracovník personálního oddělení se dopustil hrubého porušení zákona - distribuoval osobní údaje zaměstnanců na internetu. Zaměstnanci, kteří se o tom dozvěděli, podali žalobu proti zaměstnavateli, která rozhodla: „zaplatit peněžní náhradu poškozeným pracovníkům - každý 50 000 rublů“. V takové situaci má zaměstnavatel možnost uložit provinilému zaměstnanci personálního oddělení omezenou finanční odpovědnost v mezích jeho průměrného měsíčního výdělku (článek 241 zákoníku práce Ruské federace). Vymáhání způsobené škody lze na příkaz vedoucího zaměstnance provést nejpozději do jednoho měsíce ode dne pravomocného stanovení výše škody způsobené zaměstnancem. Pokud měsíční lhůta uplynula, bude nutné náhradu škody vymáhat soudní cestou. Tento postup je stanoven v článku 248 zákoníku práce Ruské federace.

S plnou finanční odpovědností bude muset zaměstnanec plně nahradit organizaci celou výši škody vzniklé v souvislosti s porušením v oblasti osobních údajů (články 242 a 243 zákoníku práce Ruské federace). Zaměstnanci odpovědní za zpracování osobních údajů však zpravidla nenesou plnou finanční odpovědnost.

Zaměstnavatel (například obchodní organizace) uplatňuje disciplinární a finanční odpovědnost výhradně podle svého uvážení. Státní regulační orgány (včetně Roskomnadzoru) se tohoto procesu neúčastní.

Administrativní odpovědnost

Za porušení postupu pro shromažďování, ukládání, používání nebo distribuci osobních údajů zaměstnavatele a úředníků mohou regulační orgány uložit správní odpovědnost ve formě pokut, které mohou činit:

• pro úředníky (například generální ředitel, hlavní účetní, personalista nebo individuální podnikatel): od 500 do 1 000 rublů;
• pro organizaci: od 5 000 do 10 000 rublů.

Samostatná (nezávislá) pokuta pro úředníky za zveřejnění osobních údajů v souvislosti s plněním služebních nebo profesních povinností se pohybuje od 4 000 do 5 000 rublů. Tyto sankce jsou popsány v článcích 13.11 a 13.14 zákoníku Ruské federace o správních deliktech.

Trestní odpovědnost

Trestní odpovědnost ředitele, hlavního účetního nebo vedoucího personálního oddělení společnosti či jiné osoby odpovědné za práci s osobními údaji může vzniknout za protiprávní jednání:

• shromažďování nebo šíření informací o soukromém životě zaměstnance, které představují jeho osobní nebo rodinné tajemství, bez jeho souhlasu;
• šíření informací o zaměstnanci ve veřejném projevu, veřejně vystaveném díle nebo médiích.

Za taková porušení týkající se nakládání s osobními údaji jsou povoleny následující trestní sankce:

• pokuta až 200 000 rublů (nebo ve výši příjmu odsouzeného po dobu až 18 měsíců);
• povinná práce až 360 hodin;
• nápravná práce po dobu až jednoho roku;
• nucené práce po dobu až dvou let s nebo bez zbavení práva zastávat určité funkce nebo vykonávat určité činnosti po dobu až tří let;
• zatčení až na čtyři měsíce;
• trest odnětí svobody až na dva roky se zbavením práva zastávat určité funkce nebo vykonávat určitou činnost až na tři roky.

Stejné činy spáchané osobou využívající své služební postavení jsou trestány přísněji:

• pokuta od 100 000 do 300 000 rublů. (nebo ve výši příjmu odsouzeného po dobu jednoho až dvou let);
• zbavení práva zastávat určité funkce nebo vykonávat určité činnosti po dobu dvou až pěti let;
• nucená práce po dobu až čtyř let s nebo bez zbavení práva zastávat určité funkce nebo vykonávat určité činnosti po dobu až pěti let;
• zatčení na dobu čtyř až šesti měsíců;
• trest odnětí svobody až na čtyři roky se zbavením práva zastávat určité funkce nebo vykonávat určité činnosti po dobu až pěti let (článek 137 trestního zákoníku Ruské federace).

Co se změní od 1. července 2017

Federální zákon ze dne 07.02. 2017 č. 13-FZ rozšířil výčet důvodů pro vyvození správní odpovědnosti zaměstnavatele v oblasti ochrany osobních údajů a také zvýšil výši správních pokut. Tento zákon nabývá účinnosti dnem 1. července 2017. Řekněme hned, že se výrazně zpřísnila administrativní odpovědnost v oblasti osobních údajů. Důležité je přitom toto: namísto jediného typu správní odpovědnosti popsaného v čl. 13.11 zákoníku o správních deliktech Ruské federace se objeví sedm. Za různá porušení ze strany zaměstnavatelů v oblasti osobních údajů tak mohou být uplatněny různé pokuty. Pokud je zjištěno několik porušení za různé přestupky, může se počet pokut odpovídajícím způsobem zvýšit. Pojďme si nové přestupky vysvětlit podrobněji.

Porušení 1: zpracování osobních údajů pro „jiné“ účely

Od 1. července 2017 je zpracování osobních údajů v zákonem nestanovených případech nebo zpracování osobních údajů neslučitelné s účely shromažďování osobních údajů samostatnými typy správních deliktů (část 1 čl. 13.11 správního řádu). Přestupky Ruské federace). Uveďme příklad: zaměstnávající organizace shromažďuje osobní údaje zaměstnanců a předává tyto údaje společnostem třetích stran pro reklamní účely (přenáší se celé jméno, telefonní čísla, regiony bydliště, výše příjmu). Poté reklamní firmy začnou zaměstnancům posílat různé spamy a reklamní nabídky na telefon, e-mail a adresy domů. Pokud takové jednání zaměstnavatele neodhalí trestný čin, lze uplatnit správní odpovědnost. Od 1. července 2017 mohou být správní sankce stanoveny takto:

• nebo varování;
• nebo pokuty.

Porušení 2: zpracování osobních údajů bez souhlasu

Zpracování osobních údajů zaměstnavatelem je zpravidla možné pouze s písemným souhlasem zaměstnanců. Takový souhlas musí obsahovat následující informace (část 4 článku 9 zákona ze dne 27. července 2006 č. 152-FZ):

• Celé jméno, adresa zaměstnance, údaje o pasu (jiný doklad prokazující jeho totožnost) včetně údaje o datu vydání dokladu a vydávajícím orgánu;
• jméno nebo celé jméno a adresu zaměstnavatele (provozovatele), který obdrží souhlas zaměstnance;
• účel zpracování osobních údajů;
• seznam osobních údajů, k jejichž zpracování je udělen souhlas;
• jméno nebo celé jméno a adresu osoby zpracovávající osobní údaje jménem zaměstnavatele, bude-li zpracováním taková osoba pověřena;
• seznam úkonů s osobními údaji, ke kterým je udělen souhlas, obecný popis způsobů, které zaměstnavatel používá při zpracování osobních údajů;
• doba, po kterou platí souhlas zaměstnance, a způsob jeho odvolání, pokud federální zákon nestanoví jinak;
• podpis zaměstnance.

Od 1. července 2017 je zpracování osobních údajů bez písemného souhlasu zaměstnance, nebo pokud písemný souhlas neobsahuje výše uvedené údaje, samostatným správním deliktem stanoveným v části 2 čl. 13.11 zákoníku o správních deliktech ze dne 13. června 2017. Ruská federace. Za to jsou možné sankce:

Porušení 3: přístup k zásadám zpracování osobních údajů

Provozovatel osobních údajů (například zaměstnavatel nebo webové stránky) je povinen zveřejnit nebo jinak umožnit neomezený přístup k dokumentu definujícímu jeho zásady zpracování osobních údajů, k informacím o implementovaných požadavcích na ochranu osobních údajů. Provozovatel shromažďující osobní údaje na internetu (například prostřednictvím webové stránky) je povinen zveřejnit na internetu dokument vymezující jeho zásady zpracování osobních údajů a informace o realizovaných požadavcích na ochranu osobních údajů, jakož i poskytují možnost přístupu k určenému dokumentu. To je stanoveno v odstavci 2 článku 18.1 zákona ze dne 27. července 2006 č. 152-FZ.

S plněním této povinnosti se v praxi potýká řada uživatelů internetu. Když tedy například necháte na webových stránkách jakoukoli aplikaci a uvedete své celé jméno a e-mail, můžete věnovat pozornost odkazu na podobné dokumenty: „Zásady zpracování osobních údajů“, „Předpisy o zpracování osobních údajů“ , atd. . Je však třeba si uvědomit, že některé stránky to zanedbávají a neposkytují žádné odkazy. A ukázalo se, že člověk zanechá na webu požadavek, neví, pro jaké účely web shromažďuje osobní údaje.

Někteří zaměstnavatelé také zobrazují dostupná volná místa na svých webových stránkách a vyzývají kandidáty, aby vyplnili formulář „O mně“. V takových případech musí webová stránka také poskytovat přístup k „Zásadám zpracování osobních údajů“.

Od 1. července 2017 je v části 3 článku 13.11 zákoníku o správních deliktech Ruské federace identifikován nezávislý přestupek - nesplnění povinnosti provozovatele zveřejnit nebo poskytnout neomezený přístup k dokumentu se zásadami zpracování osobních údajů nebo informace o jejich ochraně. Odpovědnost podle tohoto článku může vypadat jako varování nebo správní pokuty:

Porušení 4: zatajení informací

Subjekt osobních údajů (tj. fyzická osoba, které tyto údaje patří) má právo na informace o zpracování jeho osobních údajů, včetně informací obsahujících (část 7 článku 14 zákona ze dne 27. července 2006 č. 152-FZ):

1. potvrzení o skutečnosti zpracování osobních údajů provozovatelem;
2. právní důvody a účely zpracování osobních údajů;
3. účely a způsoby zpracování osobních údajů, které provozovatel používá;
4. jméno a sídlo provozovatele, údaje o osobách (kromě zaměstnanců provozovatele), které mají přístup k osobním údajům nebo kterým mohou být osobní údaje zpřístupněny na základě smlouvy s provozovatelem nebo na základě federálního zákona;
5. zpracovávané osobní údaje související s příslušným subjektem osobních údajů, zdroj jejich obdržení, pokud federální zákon nestanoví jiný postup předkládání těchto údajů;
6. podmínky zpracování osobních údajů, včetně doby jejich uchovávání;
7. postup, jak subjekt osobních údajů uplatnit práva stanovená tímto spolkovým zákonem;
8. informace o dokončených nebo zamýšlených přeshraničních přenosech dat;
9. jméno nebo příjmení, jméno, příjmení a adresa osoby zpracovávající osobní údaje jménem provozovatele, pokud zpracování bylo nebo bude takové osobě přiděleno;
10. další informace stanovené federálním zákonem nebo jinými federálními zákony.

Od 1. července 2017 je nesplnění povinnosti provozovatele poskytnout subjektu osobních údajů informace o zpracování jeho osobních údajů samostatným správním deliktem. Znamená to varování nebo uložení správních pokut:

Porušení 5: objasnění nebo zablokování

Článek 21 federálního zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“ stanoví, že v řadě případů je provozovatel povinen objasnit, zablokovat nebo zničit osobní údaje fyzických osob.

Od 1. července 2017 byl zaveden nový typ správního přestupku - nevyhovění žádosti subjektu osobních údajů nebo jeho zástupce o objasnění, zablokování nebo likvidaci údajů provozovatelem (pokud jsou údaje neúplné, neaktuální, nepřesné, získané nezákonně nebo nejsou nezbytné pro uvedený účel zpracování). Takové jednání od 1. července 2017 znamená varování nebo uložení správních pokut:

Porušení 6: zabezpečení osobních údajů

Mnoho zaměstnavatelů shromažďuje osobní údaje zaměstnanců pouze „na papíře“ a neprovádí žádné automatizované zpracování a nemá speciální programy pro zpracování údajů. Od 1. července 2017 zákonodárci stanovili nový druh přestupku pro tyto provozovatele (zejména zaměstnavatele) za to, že provozovatel při zpracování osobních údajů bez použití nástrojů automatizace nezajistí bezpečnost osobních údajů při ukládání jejich materiálu médií, pokud to vedlo k nezákonnému nebo náhodnému přístupu k osobním údajům. A to byl zase důvod jejich zničení, úpravy, blokování, kopírování, poskytování, distribuce či jiného protiprávního jednání. Pokud k tomu dojde, může nastat správní odpovědnost ve formě správní pokuty:

Porušení 7: Depersonalizace

Ve výjimečných případech stanovených zákonem musí státní a obecní úřady depersonalizovat osobní údaje, které zpracovávají ve svých informačních systémech, včetně těch, které vznikly a fungují v rámci realizace federálních cílových programů (bod „h“ odstavce 1 schváleného seznamu nařízením vlády Ruské federace ze dne 21. března 2012 č. 211). Mezi takové případy patří například potřeba státních a obecních orgánů zveřejňovat dokumenty obsahující osobní údaje, například anonymizované kopie soudních aktů (článek 3 § 15 zákona ze dne 22. prosince 2008 č. 262 -FZ).

Depersonalizaci osobních údajů lze chápat jako proces, v jehož důsledku je nemožné určit vlastnictví osobních údajů konkrétní osobě bez použití dalších informací (článek 3 zákona ze dne 27. července 2006 č. 152- FZ).

Od 1. července 2017 je správní delikt ze strany úředníků státního nebo obecního orgánu - provozovatele osobních údajů neoprávnění osobních údajů nebo za porušení požadavků pro tento proces. Odpovědnost ve formě varování nebo uložení správní pokuty úředníkům ve výši tří tisíc až šesti tisíc rublů je možná.

Ukazuje se, že správní pokuty se od 1. července 2017 výrazně zvýšily. Zároveň byly stanoveny nové pokuty v závislosti na druhu spáchaného přestupku. Úředníci tak mohou být pokutováni ve výši 3 000 až 20 000 rublů, jednotliví podnikatelé - ve výši 5 000 až 20 000 rublů, organizace - ve výši 15 000 až 75 000 rublů. Navíc mohou nést odpovědnost za různé trestné činy. V souladu s tím může být jedné společnosti uloženo několik různých pokut za různá porušení.

Do 1. července 2017 byla maximální možná správní pokuta pro organizace 10 000 rublů. A prvky porušení v článku 13.11 zákoníku o správních deliktech Ruské federace byly jedním.

Bude snazší přimět lidi k odpovědnosti

Do 1. července 2017 měl právo zahájit správní řízení týkající se osobních údajů podle článku 13.11 zákoníku o správních deliktech Ruské federace pouze státní zástupce. To je stanoveno v části 1 čl. 28.4 Kodex správních deliktů Ruské federace. Od 1. července 2017 bude účast státního zástupce nepovinná. Od tohoto data budou mít případy podle článku 13.11 zákoníku správních deliktů právo být zahájeny úředníky Roskomnadzoru. Takovou úpravu zavedl komentovaný zákon do paragrafu 58 části 2 článku 28.3 zákona o správních deliktech Ruské federace. V důsledku toho se postup trestního stíhání v případech týkajících se osobních údajů zjednodušuje.

Osobní údaje zaměstnance a opatření k jejich ochraně

Definice pojmu „osobní údaje“ pro pracovní sféru do 7. května 2013 byla obsažena v čl. 85 zákoníku práce Ruské federace. Jako takové byly uváděny pouze informace požadované a obdržené zaměstnavatelem v souvislosti s pracovní činností subjektu.

Nyní byla tato norma vyloučena a výklad pojmu osobních údajů je obsažen ve federálním zákoně „O osobních údajích“ ze dne 27. července 2006 č. 152-FZ: to jsou všechny informace týkající se jednotlivce.

Zaměstnavatel jako subjekt zpracovávající osobní údaje je povinen zaručit ochranu těchto informací před neoprávněným přístupem a užitím.

Příklady dokumentů obsahujících osobní údaje:

• zaměstnanecká karta (formulář T-2) obsahuje celé jméno. osoby, informace o rodině, absolvovaných vzdělávacích institucích;
• pracovní kniha uvádí délku služby a předchozí pracoviště;
• pracovní smlouva obsahuje název pozice, výši odměny atd.

Umění. 86 zákoníku práce Ruské federace uvádí, že jediným zdrojem osobních informací může být sám zaměstnanec. Pokud jsou takové údaje v držení neoprávněné osoby, je povoleno je získat, pokud s tím zaměstnanec souhlasí.

DŮLEŽITÉ! Hrubým porušením zákona je již samotná skutečnost nezajištění bezpečnosti dokumentace obsahující osobní údaje, bez ohledu na vznik negativních důsledků pro osobu (rozhodnutí Krajského soudu v Čeljabinsku ze dne 14. 3. 2016 č. j. 11-1913/ 2016).

Nuance tvorby předpisů o práci s osobními údaji (2018-2019)

V Čl. 87 zákoníku práce a čl. 18.1 zákona ukládá zaměstnavateli povinnost formulovat a ve vnitřních předpisech stanovit postup zpracování a uchovávání osobních údajů zaměstnanců a seznam kroků k jejich ochraně. Uvedeným dokumentem je nejčastěji nařízení o zpracování osobních údajů zaměstnanců.

Zákon neklade zvláštní požadavky na vypracování místního zákona. V praxi to zahrnuje následující informace:

• obecná pravidla obsahující účel aktu, odkazy na regulační základ pro jeho vypracování;
• složení osobních údajů, seznam jejich nosičů;
• práva zaměstnance kontrolovat nakládání s jeho osobními údaji;
• opatření, která musí organizace přijmout k ochraně informací, postup zpracování a použití;
• sled akcí při přenosu osobních údajů;
• seznam zaměstnanců s přístupem;
• sankce za nedodržení pravidel pro nakládání s předmětnými informacemi.

Předpisy o osobních údajích zaměstnanců podléhá schválení příkazem vedoucího právnické osoby.

DŮLEŽITÉ! Tento akt je poskytován k nahlédnutí všem zaměstnancům, pro které je možné otevřít speciální deník se seznamem subjektů působících ve společnosti, kam se každý po přečtení pravidel podepíše.

Vzor nařízení o práci s osobními údaji je ke stažení na odkazu: /filemanager/download/4803">Nařízení o práci s osobními údaji (vzor 2018-2019).

Zaměstnavatel jako subjekt, který přijímá a zpracovává osobní údaje zaměstnanců, je povinen přijmout nezbytná opatření k jejich ochraně při zpracování, uchovávání a používání. Odpovídající opatření upravují ustanovení o osobních údajích, která jsou zpřístupněna k nahlédnutí všem zaměstnancům.